Thought Leadership
Hunderte bösartige Pakete infiltrieren NPM und PYPI. Der Wurm „Mini Shai-Hulud“ stiehlt Daten und löscht bei Entdeckung das System. Millionen Nutzer betroffen.
Eine koordinierte Welle von Supply-Chain-Angriffen erschüttert derzeit die globale Softwareentwicklung. Experten haben hunderte bösartige Pakete in den Repositories NPM (Node Package Manager) und PYPI identifiziert. Betroffen sind unter anderem die weit verbreiteten Frameworks von TanStack sowie KI-Bibliotheken von Mistral AI. Die Angreifer nutzen einen aggressiven, selbstvermehrenden Wurm, der Zugangsdaten entwendet und über einen Schutzmechanismus verfügt, der bei Entdeckung das gesamte Dateisystem des Nutzers löscht. Da TanStack-Pakete monatlich hunderte Millionen Mal heruntergeladen werden, gilt die Reichweite des Angriffs als kritisch.
84 manipulierte Versionen innerhalb von 42 TanStack-Paketen
84 manipulierte Versionen wurden innerhalb von 42 TanStack-Paketen veröffentlicht. TanStack stellt eine essenzielle Infrastruktur für moderne Webanwendungen dar. Das Paket „query-core“ verzeichnet monatlich knapp 220 Millionen Downloads, während „react-query“ auf 212 Millionen kommt. Durch die Infiltration dieser zentralen Bausteine gelang es den Angreifern, potenziell Millionen von Entwicklerumgebungen und automatisierten Build-Pipelines gleichzeitig zu infizieren.
Neben TanStack wurden bösartige Versionen in Paketen von Mistral AI, einem führenden Akteur im Bereich der künstlichen Intelligenz, sowie bei OpenSearch und Guardrails AI entdeckt. Das Cybersicherheitsunternehmen Socket Security bezifferte die Gesamtzahl der betroffenen Pakete kurz nach dem Ausbruch auf mindestens 416. Die schnelle Erkennung durch Forscher von StepSecurity innerhalb von 20 Minuten verhinderte zwar eine noch größere Ausbreitung, doch die bereits erfolgten Infektionen verbreiten sich durch die Wurm-Funktionalität autonom weiter.
TeamPCP automatisiert Hackerangriff mit Schadsoftware „Mini Shai-Hulud“
Hinter den Angriffen steht laut Sicherheitsanalysten die Gruppe „TeamPCP“. Diese finanziell motivierte Akteursgruppe trat erstmals Ende 2025 in Erscheinung und ist für ihre wurm-basierten Angriffe auf Docker-APIs, Kubernetes-Cluster und CI/CD-Pipelines bekannt. Die aktuelle Schadsoftware trägt den Namen „Mini Shai-Hulud“.
Der Angriffsweg war hochgradig automatisiert:
- Repository-Forking: Die Angreifer erstellten einen Fork eines TanStack-Repositorys auf GitHub.
- Privilegierte Workflows: Über einen bösartigen Commit unter falscher Identität wurde der GitHub Actions Workflow von TanStack getriggert.
- Cache-Poisoning: Da der Workflow fehlerhaft konfiguriert war, konnten die Angreifer den Cache mit bösartigen Abhängigkeiten vergiften.
- Token-Diebstahl: Dies ermöglichte den Zugriff auf temporäre Publishing-Token, mit denen die gefälschten NPM-Pakete offiziell im Namen von TanStack hochgeladen wurden.
Der „Dead-Man’s Switch“ als Schutzmechanismus
Die Payload des Wurms ist mit 2,3 Megabyte kompakt, verfügt aber über weitreichende Funktionen. Nach der Infektion liest die Malware den Prozessspeicher von GitHub Actions Runnern aus, um Geheimnisse und Schlüssel zu extrahieren. Zudem werden über 100 definierte Pfade auf dem System nach Zugangsdaten für Cloud-Provider (AWS, Azure), SSH-Schlüsseln, Krypto-Wallets und VPN-Konfigurationen durchsucht.
Besonders riskant für Betroffene ist der integrierte „Dead-Man’s Switch“. Die Malware prüft im 60-Sekunden-Intervall über die GitHub-API, ob der gestohlene Token noch gültig ist. Erkennt das System, dass der Zugriff verweigert wird (Statuscode 40x) – etwa weil der rechtmäßige Besitzer den Token nach der Entdeckung des Diebstahls gesperrt hat –, führt die Schadsoftware sofort den Befehl rm -rf ~/ aus. Dies löscht das gesamte Home-Verzeichnis des Nutzers. Experten raten daher dringend dazu, betroffene Maschinen erst vom Netzwerk zu isolieren, bevor Passwörter oder Token geändert werden.
Dauerhafte Präsenz in Entwickler-Tools
Ein einfaches Löschen der betroffenen NPM-Pakete reicht zur Bereinigung nicht aus. „Mini Shai-Hulud“ ist darauf programmiert, Persistenz auf dem System zu erlangen. Die Malware schreibt Kopien von sich selbst in die Verzeichnisse gängiger Entwicklungswerkzeuge wie Visual Studio Code (VS Code) oder Claude Code.
Zudem nistet sich der Wurm in Kernprozesse des Betriebssystems ein, die nach jedem Neustart automatisch geladen werden. Ein „npm uninstall“ entfernt somit nur den Auslöser, nicht aber die bereits im System replizierte Schadsoftware. Sicherheitsdienstleister wie Snyk und Aikido betonen, dass jede infizierte Maschine oder Pipeline als vollständig kompromittiert betrachtet werden muss und eine forensische Neuinstallation unumgänglich ist.
Empfohlene Sofortmaßnahmen für Betroffene
Entwickler und IT-Sicherheitsbeauftragte sollten umgehend ihre package-lock.json– und yarn.lock-Dateien auf bösartige Versionen prüfen, die am Montag veröffentlicht wurden. Sollte ein betroffenes Paket ausgeführt worden sein, gelten folgende Prioritäten:
| Priorität | Maßnahme | Grund |
| 1. | Isolation | Trennung vom Netzwerk verhindert die Aktivierung der Löschroutine bei Token-Widerruf. |
| 2. | Geheimnis-Rotation | Alle Cloud-Credentials, SSH-Keys und NPM-Token müssen nach der Isolation erneuert werden. |
| 3. | System-Audit | Prüfung aller Paketveröffentlichungen und GitHub Actions der letzten 48 Stunden auf Fremdeinwirkung. |
Da TeamPCP verstärkt auf automatisierte Build-Prozesse setzt, müssen Unternehmen ihre Konfigurationen für GitHub Actions und ähnliche Tools dahingehend überprüfen, dass Fork-Commits keine privilegierten Zugriffstoken erhalten.
