Thought Leadership
Nach der Veröffentlichung des Shai-Hulud-Wurms durch TeamPCP attackieren Nachahmer das NPM-Registry. Forscher warnen vor einer Welle von Angriffen.
Sicherheitsforscher berichten von einer neuen Eskalationsstufe im Bereich der Supply-Chain-Angriffe. Nachahmer-Hacker konkurrieren derzeit um die Durchführung der größten Schadsoftware-Kampagne im Node Package Manager (NPM), dem weltweit größten Open-Source-Software-Registry für JavaScript. Der Auslöser für diesen Wettlauf ist die Offenlegung des Quellcodes eines schädlichen Computerwurms namens Shai-Hulud durch die cyberkriminelle Gruppierung TeamPCP. Sicherheitsunternehmen warnen, dass dies erst der Beginn einer umfassenden Angriffswelle auf die Open-Source-Infrastruktur ist.
Kopfgeld-Wettbewerb im Darknet
TeamPCP, der technologische Kopf hinter zahlreichen jüngsten Lieferketten-Angriffen, hat auf der Untergrundplattform BreachForums einen Wettbewerb ins Leben gerufen. Die Gruppe lobte ein Preisgeld in Höhe von 1.000 US-Dollar für denjenigen Akteur aus, dem der umfassendste Supply-Chain-Angriff unter Verwendung des Shai-Hulud-Wurms gelingt. Auf Kritik aus der Kriminalitätsszene, dass die Gewinnsumme zu gering bemessen sei, reagierte die Gruppe mit einer konkreten Ankündigung. TeamPCP erklärte in einem Forenbeitrag. Damit wurde ein finanzieller Anreiz geschaffen, der über die reine Prämie hinausgeht:
„Für die Leute, die sich darüber ärgern, dass der Preis ‚zu klein‘ ist, … wir werden jeden bedeutenden Zugang von Ihnen kaufen, der aus Ihren Kampagnen geerntet wurde, / Ihnen einen großen Prozentsatz der Lösegelder/Verkäufe über unser Monetarisierungsnetzwerk geben“.
Hackergruppe Team PCP
Erkennung von vier manipulierten Paketen
Das Sicherheitsunternehmen Ox Security veröffentlichte einen detaillierten Bericht über die Aktivitäten dieser Nachahmer. Innerhalb eines Zeitfensters von nur 24 Stunden lud ein einzelner, bislang unbekannter Bedrohungsakteur vier eigenständige, manipulierte Pakete auf die NPM-Plattform hoch. Hierbei handelte es sich nicht um die Kompromittierung bereits bestehender, legitimer Softwareprojekte, sondern um die gezielte Neuerstellung gefälschter Repositories.
Die Angreifer nutzten dabei das sogenannte Typosquatting, also das Registrieren von Namen mit Tippfehlern, die populären Bibliotheken stark ähneln. Entwickler wurden durch diese Namensähnlichkeiten getäuscht und luden die schädlichen Pakete mindestens 2.678 Mal herunter. Die Analysten von Ox Security stellten klar: „Jeder, der eines der bösartigen Pakete in irgendeiner Version installiert, ist direkt betroffen,“. Sie fügten hinzu: „Es ist nur die erste Phase einer bevorstehenden Welle von Supply-Chain-Angriffen, die auf uns zukommt.“
Hacker nutzen generative KI
Ein präziser Blick auf die Struktur der vier identifizierten Pakete offenbart, dass der Angreifer mit unterschiedlichen Schadsoftware-Typen experimentierte und dabei mutmaßlich generative künstliche Intelligenz einsetzte, um Code für verschiedene Einsatzzwecke zu generieren. Das Paket mit dem Namen chalk-tempalte stellte eine nahezu identische Kopie des Shai-Hulud-Wurms dar, wobei keinerlei Techniken zur Verschleierung des Codes verwendet wurden. Der Täter übernahm die Open-Source-Version der Malware von GitHub und aktualisierte lediglich die IP-Adresse des Befehls- und Steuerungsservers sowie die hinterlegten Zugangsdaten. Das Framework von Shai-Hulud ist technisch in der Lage, mehr als 100 fest im Code hinterlegte Pfade auf einem infizierten System zu durchsuchen, um Krypto-Wallets, Kontodaten und Zugangsdaten zu exfiltrieren.
Die drei weiteren Pakete wiesen grundlegend andere technische Eigenschaften auf. Die Forscher von Ox Security dokumentierten dies wie folgt: „Die 4 Schadsoftware-Varianten sind von Natur aus unterschiedlich, da die gesammelten Daten zwischen ihnen variieren, einschließlich exfiltrierter IP-Adressen, Cloud-Konfigurationen, Krypto-Wallets, Umgebungsvariablen und sogar einer Schadsoftware, die den Rechner des Opfers in ein DDoS-Botnetz verwandelt – alle von demselben npm-Benutzer,“.
Das Paket unter der Bezeichnung @deadcode09284814/axios-util agierte als klassischer Information Stealer, der SSH-Schlüssel, Umgebungsvariablen und Cloud-Zugangsdaten an einen externen Server übermittelte. Unter dem Namen Axois-utils wurde ein lokaler DDoS-Botnetz-Dienst verbreitet, der in der Programmiersprache Go (GoLang) verfasst wurde. Dieses Modul etabliert eine dauerhafte Persistenz auf dem System und bleibt selbst dann aktiv, wenn das ursprüngliche NPM-Paket gelöscht wird. Es attackiert Ziel-Websites koordiniert über HTTP-, TCP-, UDP- und Reset-Anfragen. Das vierte Paket, Color-style-utils, sammelte ohne Verschleierungstechniken Benutzer-IP-Adressen, Geolokationsdaten und Krypto-Wallets.
Empfohlene Sicherheitsmaßnahmen für Entwickler
Die Schadsoftware Shai-Hulud, deren Name eine Referenz an die riesigen Sandwürmer aus den Dune-Romanen von Frank Herbert ist, trat erstmals Ende des Jahres 2025 in Erscheinung. Seither richtet das Tool erhebliche Schäden in Open-Source-Verzeichnissen an. Erst in der vergangenen Woche kompromittierte TeamPCP in Kooperation mit den Entwicklern von Shai-Hulud bedeutende Projekte wie TanStack und die SDKs von Mistral AI, was zur Veröffentlichung von über 400 bösartigen Paketen führte. Die monatelangen Kampagnen der Gruppierung beschränken sich nicht auf ein einzelnes Ökosystem, sondern erstrecken sich über mehrere Plattformen, darunter GitHub, npm, OpenVSX, PyPI und den Docker Hub. Ox Security warnt vor der neuen Dynamik: „Bedrohungsakteure werden noch mehr motiviert, Supply-Chain-Angriffe und Typosquatting durchzuführen, da Angriffe einfacher durchzuführen sind, wenn der Shai-Hulud-Code Open Source wird,“.
Aufgrund der akuten Bedrohungslage fordern Cybersicherheitsexperten alle Entwickler, die potenziell mit den genannten Bibliotheken in Berührung gekommen sind, zu sofortigen Gegenmaßnahmen auf. Betroffene Pakete müssen umgehend deinstalliert und alle damit verknüpften Konfigurationsdateien restlos gelöscht werden. Da die Malware Zugangsdaten ausliest, ist die Rotation sämtlicher Passwörter, API-Schlüssel und kryptografischer Schlüssel zwingend erforderlich. Zudem müssen interne Software-Repositories auf unbefugte Modifikationen überprüft werden.
