Shai-Hulud funktioniert nach einem Schneeballprinzip: Lud ein Entwickler eine mit dem Wurm verseuchte npm-Komponente (Node Package Manager) herunter, infizierte dieser anschließend sämtliche Komponenten, zu denen der betroffene Entwickler beitrug, und lud schädliche Aktualisierungen für ansonsten legitime Pakete hoch.

Auf die erste Welle folgten weitere Angriffe, darunter Schadsoftware wie GlassWorm. In diesem Monat veröffentlichte TeamPCP schließlich den Quellcode von Shai-Hulud als Open Source. Forscher vermuten dahinter den Versuch, die Reichweite des Wurms zu skalieren – die Command-and-Control-Infrastruktur war an den Code gebunden –, Verteidiger zu überfordern und ein gerade gestartetes Partnerprogramm zu bewerben.

Zuletzt reklamierte TeamPCP einen Angriff auf GitHub für sich: Ein Mitarbeiter lud eine manipulierte VS-Code-Erweiterung herunter, was zum Diebstahl von rund 4.000 Repositorys mit privatem Code führte. Ilkka Turunen, Field Chief Technical Officer bei Sonatype, wertet den Vorfall gegenüber Dark Reading als Beleg dafür, dass Entwickler inzwischen “dauerhafte Ziele” bei Angriffen auf die Software-Lieferkette seien. Ein motivierter Angreifer bewege sich durch die Werkzeuge, denen Entwickler täglich vertrauen – Open-Source-Pakete, Erweiterungen, Konten und Zugangsdaten –, statt durch die Vordertür einzubrechen.

Bemerkenswert ist, dass TeamPCP das Ökosystem derart durcheinanderwirbelte, obwohl die Gruppe erst wenige Monate alt ist. Allerdings könnte dieses formelle “Alter” täuschen: Manche Forscher datieren TeamPCP-Aktivitäten bereits auf 2024. Kernmitglieder wechseln häufig zwischen Gruppen, wenn eine Marke etwa durch Strafverfolgung oder Reputationsverlust an Wirkung verliert.

Kevin Tian, CEO und Mitgründer von Doppel, betont gegenüber Dark Reading, die Gruppe habe nicht bloß Glück gehabt, sondern verstehe es, moderne Vertrauensbeziehungen in Entwicklungsumgebungen auszunutzen. Auffällig sei weniger die technische Raffinesse als die operative Wirksamkeit: TeamPCP kombiniere Social Engineering, den Missbrauch vertrauenswürdiger Plattformen und KI-gestützte Aufklärung. Angreifer bräuchten keine fortgeschrittenen Zero-Days mehr, wenn sie stattdessen vertrauenswürdige Identitäten, Werkzeuge und Arbeitsabläufe kompromittieren könnten. Tian ordnet dies in einen größeren Trend ein, etwa erkennbar auch bei ClickFix-Angriffen.

Melissa Bischoping, Senior Director bei Tanium, sieht weniger eine Frage von Raffinesse oder Glück als die Mechanik von Lieferkettenangriffen auf Entwicklerwerkzeuge, die Angreifern überproportionale Wirkung ermögliche. Die Mini-Shai-Hulud-Kampagnen gehörten zu den ersten Würmern, die SLSA-Provenance-Attestierungen – ein OpenSSF-Sicherheitsframework gegen Manipulation von Software-Builds – aktiv als Waffe einsetzten. Das zeuge von technischer Tiefe und Kreativität, doch insgesamt sei das Vorgehen “mittelständische” Cybercrime mit gutem Blick für Ziele und einer hervorragenden Marketingstrategie. Sie vergleicht TeamPCP mit der Ransomware-as-a-Service-Gruppe DragonForce, die ebenfalls weniger durch Raffinesse als durch geschicktes Marketing bekannt wurde.

Charlie Eriksen, Sicherheitsforscher bei Aikido Security, merkt an, dass TeamPCP sich stark von anderen Akteuren inspirieren lasse und beim Bau ihrer Schadlasten stark auf KI setze. Raffinesse sei gar nicht nötig: Wer einmal eine Veröffentlichungsberechtigung für eine populäre Erweiterung besitze, verfüge über einen direkten Auslieferungskanal auf jeden Rechner, der sie ausführt. Open-Source-Entwicklerwerkzeuge hätten sich früh als leichtes Ziel erwiesen – und genau das treffe die Gruppe seither beständig.