Thought Leadership
Die Shai-Hulud Kampagne zählt inzwischen zu den gravierendsten Angriffen, die das JavaScript Umfeld je erlebt hat. Als die erste Welle Anfang 2025 öffentlich wurde, zeigten Analysen des Sicherheitsunternehmens JFrog, dass sich ein selbstreplizierender Wurm über Hunderte npm Pakete verbreitet hatte.
Er stahl Zugangsdaten, erbeutete Cloud Tokens und veröffentlichte infizierte Paketversionen automatisch erneut. Die Attacke wurde schnell als Signal verstanden, dass die Angriffsfläche moderner Softwarelieferketten deutlich größer ist als bisher angenommen.
Die Rückkehr eines noch mächtigeren Angriffs
Neue Untersuchungen zeigen, dass die Kampagne in eine zweite Phase eingetreten ist. Die Angreifer kompromittierten fast zweihundert weitere Pakete und erweiterten die Gesamtzahl der betroffenen Versionen auf inzwischen mehr als eintausend. Die fortlaufend entdeckten Varianten verdeutlichen, dass Shai-Hulud nicht zum Stillstand gekommen ist, sondern sich stetig weiterentwickelt.
Einige der Verhaltensänderungen des Wurms sind besonders relevant. Statt der zuvor genutzten Nutzlast kommt nun ein speziell integriertes Skript zum Einsatz, das über einen Preinstall Hook ausgeführt wird. Dieses Skript prüft zunächst die Umgebung und lädt bei Bedarf die Bun Laufzeit nach. Der Wechsel zu dieser Laufzeitumgebung erschwert die Entdeckung der Malware, da viele Organisationen sie bisher nur am Rande überwachen.
Neue Taktiken für Tarnung und Ausbreitung
Die zweite Welle zeigt eine deutlich stärkere Ausbreitungsdynamik. Noch immer sammelt der Schädling Anmeldedaten für GitHub, npm und Cloud Plattformen. Die Exfiltration erfolgt jedoch inzwischen über zufällig generierte Repositories, wodurch Spuren schwerer nachvollziehbar sind. Sobald gültige Tokens vorhanden sind, durchsucht der Wurm zugängliche Pakete, ergänzt sie um schädlichen Code, erhöht automatisch die Versionsnummer und veröffentlicht manipulierte Releases. Jede infizierte Entwicklerumgebung wirkt dadurch wie ein Verstärker weiterer Kompromittierungen.
Die Angriffe richten sich außerdem zunehmend gegen automatisierte Build Prozesse. Die Malware sucht nach Umgebungsvariablen von CI und CD Systemen, versucht Privilegien auszuweiten und manipuliert netzwerkbezogene Einstellungen. Damit geraten nicht nur einzelne Rechner, sondern ganze Entwicklungsumgebungen ins Visier.
Bedeutung für Unternehmen und ihre Sicherheitsstrategien
Die aktuelle Lage macht deutlich, dass Shai-Hulud nicht als isolierter Einzelfall verstanden werden kann. Der Angriff wirkt entlang der gesamten Softwarelieferkette. Betroffen sind nicht nur Maintainer, sondern auch Anwender, die kompromittierte Bibliotheken einbinden. Eine einzige übernommene Entwickleridentität kann den Ausgangspunkt für eine Vielzahl weiterer Infektionen bilden.
Unternehmen stehen dadurch vor der Aufgabe, Sicherheitsmaßnahmen neu zu priorisieren. Dazu gehören eine kontrollierte Verwaltung von Abhängigkeiten, der Schutz von CI und CD Umgebungen sowie der sorgsame Umgang mit Tokens. Auch eine systematische Rotation sensibler Zugangsdaten wird unerlässlich. Präventive Ansätze gewinnen an Bedeutung. Eine zeitlich begrenzte Quarantäne für neue Paketversionen kann helfen, manipulierte Releases zu erkennen, bevor sie produktive Systeme erreichen.
Schlussfolgerung
Die zweite Welle der Shai-Hulud Kampagne verdeutlicht, wie sich Angriffe auf Softwarelieferketten zu automatisierten und hochentwickelten Operationen entwickeln können. Für Organisationen kommt es darauf an, Vertrauen in öffentliche Pakete nicht als selbstverständlich zu betrachten. Sicherheitsprozesse müssen kontinuierlich angepasst und überprüft werden. Wer Abhängigkeiten sorgfältig kontrolliert, Build Umgebungen absichert und präventive Maßnahmen etabliert, kann das Risiko künftiger Infektionen spürbar senken und seine Softwarelieferkette langfristig widerstandsfähiger machen.
