Neue „Hades“-Welle vergiftet PyPI-Pakete mit Mini Shai-Hulud

Zusammenfassung

Die Software-Lieferkette ist erneut Ziel eines Angriffs geworden: Nach Recherchen von Socket haben Angreifer den Python Package Index (PyPI) mit einer neuen Welle kompromittierter Pakete attackiert. Im Mittelpunkt steht eine Variante des Wurms Shai-Hulud, die Socket als Mini Shai-Hulud einordnet und die nun unter einem „Hades“-Muster auftritt. Laut einem am Sonntag veröffentlichten Blogbeitrag des Socket Research Team wurden 37 bösartige PyPI-Wheels in 19 Paketen entdeckt. PyPI habe zum Zeitpunkt der Veröffentlichung bereits mehrere betroffene Releases unter Quarantäne gestellt; die übrigen seien an das PyPI-Sicherheitsteam gemeldet worden, so Socket. Brisant ist die technische Umsetzung: Die aktuelle Welle missbraucht das Python-Startverhalten über .pth-Dateien, um bereits beim Starten von Python schädlichen Code auszuführen. Dabei setzen die Angreifer auf Bun als Ausführungsumgebung für einen stark verschleierten JavaScript-Stealer, der es auf Geheimnisse von Entwicklern sowie auf Cloud-, Paketveröffentlichungs- und CI/CD-Zugangsdaten abgesehen hat.

Shai-Hulud beschreibt Socket als selbstverbreitende, informationsstehlende Schadsoftware, die Software-Komponenten infiziert, den Zugriff zum Veröffentlichen vergifteter Versionen nutzt und anschließend Konten in Paket-Repositorien von nachgelagert Betroffenen aberntet. Die Schadsoftware ist seit September gegen npm- und PyPI-Pakete aktiv.

Die neue Angriffswelle ordnet Socket klar der Shai-Hulud-Familie zu. Philipp Burckhardt, Leiter Threat Intelligence bei Socket, sagte Dark Reading, die Vorgehensweise der aktuellen Mini-Shai-Hulud-Infektionen sei „unverkennbar Shai-Hulud/Miasma“. Mit Miasma bezeichnen Forscher eine jüngere Infektionswelle gegen npm-Pakete im Umfeld von Red Hat Cloud Services, bei der Dutzende Pakete eine Wurm-Variante trugen.

Als zentrales Indiz nennt Socket das laufzeitübergreifende Design der Angriffskette. Die Schadsoftware setzt nicht voraus, dass lokal Node.js, Python oder eine andere Laufzeitumgebung vorhanden ist. Stattdessen dient Bun als Ausführungs-Engine. Laut Socket wurde dieses Verhalten selbst bei Kompromittierungen von npm beobachtet, obwohl dort eigentlich Node.js zu erwarten wäre.

In der PyPI-Welle missbrauchen die Angreifer Python-.pth-Dateien, um beim Python-Start einen JavaScript-Stealer auf Basis von Bun zu starten. Ziel sind Entwickler-Geheimnisse, Cloud-Schlüssel, Paketveröffentlichungs-Zugangsdaten und CI/CD-Geheimnisse. Socket erklärt, .pth-Dateien seien eigentlich eine legitime Python-Funktion, um Pfade zu sys.path hinzuzufügen und Import-Hooks zu unterstützen. Python unterstütze jedoch ausdrücklich ausführbare Zeilen, die mit „import“ beginnen und bei jedem Python-Start ausgeführt werden — unabhängig davon, ob das betreffende Paket importiert wird. Dadurch werde aus jeder kompromittierten Wheel-Datei ein verzögerter Auslöser für Codeausführung.

Das Socket-Team zieht deshalb einen direkten Vergleich zu früheren Angriffen auf npm: Das sei das Python-Pendant zum Problem missbrauchter Installations-Hooks bei npm, das Shai-Hulud und Miasma wiederholt ausgenutzt hätten. Die Syntax sei anders, die Sicherheitsfolge aber identisch: Schon die Installation einer Abhängigkeit schaffe einen Ausführungspfad, bevor Anwendungscode geprüft oder überhaupt aufgerufen werde.

Neu an der aktuellen Kampagne ist laut Burckhardt auch die „Hades“-Inszenierung. Dazu gehören GitHub-Markierungen für die Exfiltration, darunter die Repository-Beschreibung „Hades – das Ende für die Verdammten“. Socket entdeckte außerdem Komponentenbezeichnungen mit Anspielungen auf die mythologische Unterwelt, darunter stygian, tartarean, cerberus, charon, styx, lethe, thanatos und persephone.

Socket sieht in der Nutzung von .pth-Startdateien einen neuen Schwerpunkt der Kampagne. Diese Ausführungsmethode unterscheide sich klar vom früher beobachteten Missbrauch von npm-Lebenszyklus-Skripten. Burckhardt wertet das als Hinweis auf eine hohe Anpassungsfähigkeit der Angreifer über verschiedene Ökosysteme hinweg.

Der Wurm hat sich in den vergangenen Monaten mehrfach verändert. Im November tauchte laut Quelltext eine neue Wiper-Funktion auf, im Dezember kamen Fähigkeiten zum Diebstahl von Zugangsdaten und Geheimnissen aus Konten bei großen Cloud-Anbietern hinzu. Später entwickelte sich im April die Variante Mini Shai-Hulud weiter und ergänzte aggressivere Techniken, mit denen sich nicht nur Entwickler-Zugangsdaten stehlen und Replikation ermöglichen lassen, sondern auch vertrauenswürdige Veröffentlichungswege kapern und schädliche Nutzlasten während der Installation ausführen lassen.

Wer hinter den aktuellen Angriffen steckt, ist laut Socket unklar. Das Forschungsteam ordnete die „Hades“-Welle keinem bestimmten Akteur oder keiner Gruppe zu. Einige Sicherheitsanbieter hatten frühere Mini-Shai-Hulud-Angriffe TeamPCP zugeschrieben, einem finanziell motivierten Bedrohungsakteur, der laut Quelltext gegen Ende 2025 formal in Erscheinung trat, indem er die React2Shell-Schwachstelle ausnutzte und fehlkonfigurierte Docker-APIs sowie Next.js ins Visier nahm.

Für Organisationen, die eines der infizierten PyPI-Pakete installiert haben könnten, empfiehlt Burckhardt eine sofortige Überprüfung ihrer Umgebungen. Da die Nutzlast während der Installation verfügbare Geheimnisse stehle, müssten sie davon ausgehen, dass im Installationsumfeld erreichbare Zugangsdaten kompromittiert seien und ausgetauscht werden müssten. Als einzige Möglichkeit, solche Angriffe künftig zu erkennen, nennt Burckhardt eine kontinuierliche Überwachung von Paketinstallationen und dem Verhalten von Artefakten, um schädliche Aktivitäten im Zusammenhang mit Shai-Hulud oder Miasma in der Umgebung aufzuspüren.

Neue „Hades“-Welle vergiftet PyPI-Pakete mit Mini Shai-Hulud

Ähnliche Artikel

Neueste Artikel