(Bild: Imilian/Shutterstock.com). Die Malware-Autoren hinter dem npm-Wurm Shai-Hulud haben die Quelltexte veröffentlicht. Nun erscheinen die ersten Klone.. Das ist ein besonderes Open-Source-Projekt: Die Drahtzieher der Cybergang TeamPCP haben den Quellcode des npm-Wurms Shai-Hulud auf GitHub veröffentlicht. Im Untergrundforum BreachForums haben sie zudem einen Wettbewerb aufgezogen und andere Kriminelle aufgefordert, mit dem Code loszulegen.. In einem Blog-Beitrag schreiben IT-Forscher [1] von Mondoo, dass nur wenige Tage später die ersten Klone auf npm erschienen sind. Ein Einzeltäter etwa lud gleich vier bösartige Pakete hoch, eine nahezu identische Kopie von Shai-Hulud mit einer eigenen Command-and-Control-Infrastruktur – und drei Tippfehler-Versionen von „Axios“. Sie enthalten Botnet-Schadfunktionen, die infizierte Systeme in ein DDoS-Netzwerk integrieren. Ziel seien Programmierer mit dicken Fingern, erklären die IT-Forscher. Die Anzahl wöchentlicher Downloads liegt derzeit bei rund 2600, was für npm-Pakete tatsächlich wenig ist. Einige weitere Kopien listet OXsecurity [2] auf. Eine Schwemme an npm-Wurm-Paketen steht zu erwarten, da nun viele Interessierte auf dem Quellcode aufbauen können.. Aktueller Shai-Hulud-Supply-Chain-Angriff. Dazu passt auch, dass Microsofts Threat Intelligence eine aufkommende Mini-Shai-Hulud-Lieferkettenattacke untersucht, wie die Gruppe auf Bluesky erklärt [3]. Die Angreifer haben es auf „antv“ abgesehen – sie konnten ein Konto eines Projekt-Maintainers kompromittieren und haben infizierte Versionen von weit verbreitet eingesetzten Paketen veröffentlicht, etwa „antv/g2“. Diese Pakete kommen als Abhängigkeit weitläufig zum Einsatz. Die kompromittierten Pakete propagierten sich in Bibliotheken wie „echarts-for-react“, wodurch ein großer Bereich von Apps und Build-Systemen betroffen sind.. Der Schadcode dient auch hier dazu, Zugangsdaten zu suchen und auszuschleusen. Begehrte Ziele sind persönliche GitHub-Zugriffstoken, OpenID-Token, Amazon AWS-Zugangsdaten und Sicherheitstoken, SSH-Keys, Kube-Konfigurationen oder andere Software-as-a-Service-Token, schreibt Microsoft. Eine Verknüpfung zum Shai-Hulud-Open-Source-Code erwähnt Microsoft allerdings nicht.. npm-Wurm Shai-Hulud. Der npm-Wurm Shai-Hulud hat Softwareentwickler im Visier. In sogenannten Lieferkettenangriffen ist der Schadcode in npm-Paketen eingebettet, die Programmierer in ihre Projekte einbinden. Dazu setzen die Malware-Autoren in der Regel auf Namensähnlichkeiten zu populären Paketen oder auf Tippfehler-Varianten der Namen der echten Pakete. Sofern die schädlichen npm-Pakete eingebunden sind, läuft auch der Schadcode mit. Shai-Hulud 2 hatte im vergangenen November so mehr als 27.000 Zugangsdaten geklaut [4]. Damit können die Angreifer etwa kostspielige Ressourcen bei Cloudanbietern missbrauchen oder Spionage betreiben und weitere Pakete infizieren.. (dmk [6]). URL dieses Artikels:. https://www.heise.de/-11299094. Links in diesem Artikel:. https://mondoo.com/de/blog/shai-hulud-clones-arrive-when-worm-source-code-goes-open-source. https://www.ox.security/blog/new-actors-deploy-shai-hulud-clones-teampcp-copycats-are-here/. https://bsky.app/profile/threatintel.microsoft.com/post/3mm6v564n5s23. https://www.heise.de/news/Shai-Hulud-2-Neue-Version-des-NPM-Wurms-greift-auch-Low-Code-Plattformen-an-11089607.html. https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp. mailto:dmk@heise.de. Copyright © 2026 Heise Medien
heise security News