Thought Leadership
Nach Lieferketten-Angriffen durch den Wurm Mini Shai Hulud erzwingt NPM einen plattformweiten Token-Reset für alle automatisierten Workflows.
Das Software-Repository NPM (Node Package Manager) hat eine außerordentliche Sicherheitsmaßnahme ergriffen und einen plattformweiten Reset von Sicherheits-Tokens erzwungen. Die VW-Tochter GitHub, Eigentümerin von NPM, reagiert damit auf eine aggressive Welle von Angriffen auf die Software-Lieferkette (Supply Chain Attacks). Ein hochentwickelter, selbstreplizierender Wurm hat innerhalb von etwas mehr als einer Woche über 1.000 kompromittierte Programmpakete auf der Plattform eingeschleust, die von Millionen von Softwareentwicklern weltweit genutzt werden. Die erzwungene Ungültigerklärung betrifft alle granularen Zugriffsschlüssel, die für automatisierte Prozesse genutzt werden und die standardmäßige Zwei-Faktor-Authentifizierung (2FA) umgehen.
Mini Shai Hulud: Automatisierung des Replikationsprozesses
Die aktuelle Angriffswelle wird von einer Schadsoftware angetrieben, die von IT-Sicherheitsforschern als „Mini Shai Hulud“ identifiziert wurde. Es handelt sich hierbei um eine modifizierte Variante des ursprünglichen Shai Hulud-Malware-Stammes. Der Schädling agiert als autonomer Software-Wurm: Einmal auf das System eines Entwicklers gelangt, sucht das Programm gezielt nach lokal gespeicherten NPM-Tokens, Zugangsdaten und weiteren sensiblen Konfigurationsdateien, um diese zu entwenden.
Das Hauptmerkmal von Mini Shai Hulud ist die vollständige Automatisierung des Replikationsprozesses. Sobald der Wurm einen gültigen Autorisierungsschlüssel mit Schreibrechten (Write Access) erbeutet hat, nutzt er diesen, um ohne jegliche menschliche Interaktion eigenständig neue, mit Schadcode infizierte Versionen von legitimen Software-Paketen auf den NPM-Servern zu veröffentlichen. Das System infiziert sich dadurch netzwerkübergreifend selbst und breitet sich kontinuierlich auf weitere Entwicklungsplattformen aus.
Mehr als 600 NPM-Pakete betroffen
Das Ausmaß des Schadens im Open-Source-Ökosystem ist erheblich. Allein in dieser Woche manipulierten die Angreifer mithilfe des Wurms mehr als 600 NPM-Pakete. Zu den prominentesten Opfern gehört das weit verbreitete Open-Source-Datenvisualisierungs-Ökosystem @antv des chinesischen Technologiekonzerns Alibaba. Zudem wurden zahlreiche populäre eigenständige Entwickler-Werkzeuge kompromittiert, die feste Bestandteile moderner JavaScript-Testumgebungen sind. Darunter befinden sich:
jest-canvas-mock: Ein Paket mit rund 2,4 Millionen wöchentlichen Downloads.echarts-for-react: Eine Integrationsbibliothek mit rund 890.000 wöchentlichen Downloads.jest-date-mock: Ein Hilfswerkzeug mit 381.400 Downloads pro Woche.
Bereits in der vergangenen Woche infiltrierte der Wurm die weit verbreitete Entwickler-Bibliothek „TanStack“ sowie Software-Komponenten des KI-Unternehmens Mistral AI. IT-Sicherheitsanalysten schreiben die Urheberschaft dieser Angriffe der kriminellen Gruppierung „TeamPCP“ zu. Diese finanziell motivierte Hackergruppe trat erstmals Ende 2025 prominent in Erscheinung. Die Gruppe wählte für den aktuellen Vorfall einen unkonventionellen Ansatz: Sie stellte den Quellcode der Malware als Open-Source-Projekt ins Netz und forderte konkurrierende Hacker-Gruppen im Rahmen eines Wettbewerbs dazu auf, den größtmöglichen Schaden in globalen Software-Infrastrukturen anzurichten.
Die administrative Reaktion von NPM und ihre technischen Grenzen
Als unmittelbare Schadensbegrenzung hat NPM sämtliche aktive Zugriffsschlüssel blockiert, die für die Umgehung der Multi-Faktor-Authentifizierung konfiguriert waren. Das Unternehmen informierte die Entwickler-Community über den offiziellen Kanal auf der Plattform X mit einer klaren Handlungsaufforderung:
„Um Lieferketten-Angriffe nach dem Muster von Mini Shai Hulud zu verhindern, haben wir granulare npm-Zugriffstokens mit Schreibrechten, die die 2FA umgehen, für ungültig erklärt. Aktualisieren Sie den gespeicherten Token und starten Sie den Workflow für Ihre Automatisierungen neu.“
NPM
Bereits im vergangenen Jahr hatte NPM als Reaktion auf ähnliche Vorfälle die historischen „Classic Tokens“, universelle Schlüssel ohne Ablaufdatum und mit unbeschränkten Rechten, vollständig abgeschafft. Die eingeführten granularen Tokens wurden auf eine maximale Lebensdauer von 90 Tagen beschränkt und erfordern bei der Erstellung zwingend eine aktivierte Zwei-Faktor-Authentifizierung.
Für automatisierte Continuous-Integration- und Continuous-Deployment-Pipelines (CI/CD-Workflows) stellt diese Sicherheitsbarriere jedoch ein logistisches Problem dar, da automatisierte Server keine Einmal-Passwörter eingeben können. NPM bietet Entwicklern daher explizit die Option an, spezielle Tokens zu generieren, die die 2FA bei automatisierten Uploads umgehen. Genau an dieser Schnittstelle setzen die Angreifer an. Sicherheitsaspekte bewerten den erzwungenen Reset daher als reine Pflaster-Lösung: Da die zugrundeliegende Malware weiterhin auf ungesicherten Entwickler-Systemen aktiv ist, kann sie neu generierte und hinterlegte Tokens beim nächsten automatisierten Durchlauf sofort wieder abgreifen.
Risiken bei der Migration auf Trusted Publishing und OIDC
Um die Abhängigkeit von statischen, langlebigen Tokens dauerhaft zu eliminieren, drängt NPM die Entwicklergemeinschaft zur Migration auf das Sicherheitsverfahren „Trusted Publishing“. Diese Methode basiert auf dem offenen Standard OpenID Connect (OIDC). Dabei authentifizieren sich die Repositories nicht mehr über ein im Klartext hinterlegtes Passwort, sondern die beteiligten Plattformen – in den meisten Fällen die Code-Plattform GitHub – stellen bei jedem Veröffentlichungsprozess automatisch einen kryptografisch verifizierten, extrem kurzlebigen Identitätsnachweis aus.
Der aktuelle Vorfall zeigt jedoch, dass auch diese moderne Verteidigungsstrategie Schwachstellen aufweist, sobald die Identität des Entwicklers kompromittiert ist. Die Hintermänner von Mini Shai Hulud demonstrierten, dass sie die OIDC-Sicherheitsarchitektur aushebeln können, indem sie Schadcode direkt in die vorgelagerten CI/CD-Workflows einschleusten. Auf diese Weise wurden die bösartigen Versionen der TanStack-Pakete über die legitimen, verifizierten Trusted-Publishing-Kanäle signiert und in Umlauf gebracht.
Zusätzliche Brisanz erhält die Situation durch eine parallele Sicherheitsmeldung von GitHub. Der Cloud-Dienst und NPM-Mutterkonzern bestätigte, dass die eigene Unternehmensinfrastruktur ebenfalls von einem gezielten Lieferketten-Angriff betroffen war. Zum aktuellen Zeitpunkt ist jedoch noch unklar, ob ein direkter technischer oder personeller Zusammenhang zwischen dem Hack von GitHub und den Aktivitäten des Shai-Hulud-Wurms besteht. Die Vorfälle unterstreichen die anhaltende Verwundbarkeit automatisierter Software-Build-Prozesse.
