Sicherheitsforscher haben eine aktive Supply-Chain-Wurmkampagne mit mindestens 19 manipulierten npm-Paketen aufgedeckt, die Zugangsdaten, Kryptowährungsschlüssel und API-Token aus Entwicklerumgebungen abgreifen.
Cybersicherheitsexperten haben eine umfassende Supply-Chain-Attacke enthüllt, die Merkmale einer sogenannten “Shai-Hulud-ähnlichen” Wurmkampagne aufweist. Das Sicherheitsunternehmen Socket hat die Angriffskette unter dem Namen SANDWORM_MODE katalogisiert und identifiziert mindestens 19 bösartige npm-Pakete, die von zwei Publisher-Aliassen – official334 und javaorg – verbreitet wurden.
Die eingebettete Malware zeigt klassische Shai-Hulud-Charakteristiken, erweitert diese aber erheblich: Neben GitHub-API-Exfiltration mit DNS-Fallback, Hook-basierter Persistierung und SSH-Propagation kommen auch MCP-Server-Injection und LLM-API-Key-Harvesting hinzu. Besonders bemerkenswert ist ein “McpInject”-Modul, das gezielt KI-Coding-Assistenten wie Claude Code, Cursor und VS Code Continue attackiert, indem es bösartige Model-Context-Protocol-Server injiziert, die SSH-Schlüssel, AWS-Credentials, npm-Konfigurationen und Umgebungsvariablen auslesen.
Die Malware nutzt einen polymorphen Engine, der auf lokale Ollama-Instanzen mit DeepSeek-Coder-Modellen zurückgreift, um Variablen umzubenennen, Code-Flüsse zu manipulieren und Strings zu verschlüsseln – dadurch entsteht eine größere Erkennungssicherheit. Besonders kritisch: Ein GitHub-Action-Komponente erntet CI/CD-Secrets, und der Payload enthält eine Art “Killschalter”, der eine Formatierung des Home-Verzeichnisses auslösen kann, falls der Zugriff auf GitHub und npm verloren geht.
Die Attacke verläuft zweistufig. Zunächst werden Credentials und Kryptoschlüssel erfasst, erst nach 48 Stunden (plus zufällige Verzögerung bis zu weiteren 48 Stunden) folgt die zweite Phase mit tiefgreifendem Credential-Harvesting aus Passwort-Managern und Wurm-ähnlicher Ausbreitung.
Nutzende betroffener Pakete sollten diese sofort entfernen, npm- und GitHub-Tokens rotieren sowie package.json-, Lockfiles und GitHub-Workflows auf unerwartete Änderungen prüfen. Socket warnt: Die Feature-Flags deuten darauf hin, dass der Angreifer noch an Funktionen arbeitet – die identische Wurm-Infrastruktur über mehrere Typosquatting-Pakete hinweg zeigt jedoch intentionale Verbreitung statt Testartifakte.
Parallel dokumentierten Veracode und JFrog zwei weitere bösartige npm-Pakete: “buildrunner-dev” liefert den Pulsar-RAT für Windows/macOS/Linux, während “eslint-verify-plugin” als gefälschtes ESLint-Tool mit mehrstufiger Infection-Chain auftritt. Unter Linux wird der Poseidon-Agent für Mythic C2 installiert, auf macOS kommt Apfell (JavaScript for Automation) zum Einsatz, das neue Admin-Benutzer erstellt und extensive Datensammlungen durchführt.
Checkmarx meldete zusätzlich eine gefälschte VS-Code-Extension namens “solid281”, die das offizielle Solidity-Plugin imitiert, aber einen obfuszierten Loader ausführt und ScreenConnect (Windows) oder Python-Reverse-Shells (macOS/Linux) installiert. Solidity-Entwickler werden damit gezielt ins Visier genommen – ein Muster, das sich in mehreren aktuellen Kampagnen abzeichnet.
Quelle: The Hacker News