Shai-Hulud: Gefährlicher Wurm attackiert Softwareentwickler weltweit

Ein hochentwickelter Computerwurm namens „Shai-Hulud“ hat das npm-Ökosystem infiltriert und dabei Hunderte von Softwarepaketen in einem weitreichenden Supply-Chain-Angriff kompromittiert. Die noch immer aktive Kampagne stiehlt Entwickler-Zugangsdaten wie API-Schlüssel und Access-Token und macht diese dreist in öffentlichen GitHub-Repositories sichtbar.

Der nach den Sandwürmern aus Frank Herberts „Dune“-Saga benannte Wurm repräsentiert eine dramatische Eskalation der Bedrohungen für die Open-Source-Softwarelieferkette. Durch Automatisierung verbreitet er sich rasant und infiziert eine wachsende Anzahl von Projekten. Sicherheitsforscher fordern Entwickler und Organisationen zu sofortigen Schutzmaßnahmen auf.

Erstmals am 14. September entdeckt

„Shai-Hulud“ wurde erstmals um den 14. September 2025 entdeckt. Seitdem hat der Wurm über 180 populäre npm-Pakete kompromittiert – einige Berichte sprechen sogar von 500 betroffenen Paketen. Darunter befinden sich Pakete mit Millionen wöchentlicher Downloads wie @ctrl/tinycolor.

Das primäre Ziel der Attacke ist das Sammeln von Zugangsdaten. Der Wurm zielt auf sensible Daten wie npm-Token, GitHub Personal Access Tokens und API-Schlüssel für Cloud-Services wie AWS, Google Cloud und Azure ab.

Perfider Verbreitungsmechanismus

Besonders alarmierend ist der Verbreitungsmechanismus des Wurms. Sobald ein Entwickler ein kompromittiertes Paket installiert, führt ein bösartiges Post-Install-Script aus. Dieses durchsucht die Entwicklerumgebung nach Zugangsdaten. Einige Varianten der Malware nutzen sogar Tools wie TruffleHog – eigentlich ein legitimes Open-Source-Tool zum Aufspüren von Geheimnissen – für eine gründlichere Suche.

Die gestohlenen Daten werden dann kodiert, oft mit doppelter Base64-Verschlüsselung, und übertragen. In einer höchst ungewöhnlichen Taktik nutzt der Wurm die gestohlenen GitHub-Token der Opfer, um neue öffentliche Repositories namens „Shai-Hulud“ zu erstellen und die erbeuteten Geheimnisse in einer Datei hochzuladen – sichtbar für jeden.

Der Clou: Entdeckt die Malware einen gültigen npm-Token, authentifiziert sie sich beim npm-Registry. Sie identifiziert andere Pakete des kompromittierten Entwicklers, injiziert den bösartigen Code und veröffentlicht neue, verseuchte Versionen. Dieses automatisierte, wurmartige Verhalten ermöglicht eine exponentielle Ausbreitung ohne direktes Eingreifen der Angreifer.

Prominente Opfer betroffen

Das Ausmaß der „Shai-Hulud“-Attacke ist beträchtlich. Betroffen sind Technologieunternehmen, Softwareentwicklungsdienstleister und sogar Sicherheitsanbieter. Die Cybersicherheitsfirma CrowdStrike bestätigte, dass mehrere ihrer öffentlichen npm-Pakete kurzzeitig kompromittiert waren. Das Unternehmen entfernte die bösartigen Pakete schnell und erneuerte seine Schlüssel.

Die potenziellen Folgen des Datendiebstahls sind schwerwiegend: Gestohlene Schlüssel und Token können zur Kompromittierung von Cloud-Services führen, was Datendiebstahl aus Speichern, Ransomware-Einsatz oder die Löschung von Produktionsumgebungen zur Folge haben kann.

Verbindung zu früheren Angriffen?

Sicherheitsforscher stellten Ähnlichkeiten zwischen dem „Shai-Hulud“-Wurm und dem „s1ngularity“-Angriff von Ende August 2025 fest. Dies deutet auf eine mögliche Verbindung oder zumindest eine Weiterentwicklung ähnlicher Taktiken hin.

Der „Shai-Hulud“-Angriff führt jedoch das gefährliche Element der Selbstverbreitung ein – was ihn zu einer bedeutenderen und unvorhersagbareren Bedrohung macht. Der initiale Angriffsvektor war vermutlich eine Phishing-Kampagne, die npm nachahmte und Entwickler zur Preisgabe ihrer Zugangsdaten verleitete.

Sofortige Schutzmaßnahmen erforderlich

Als Reaktion auf den Angriff arbeiten npm und GitHub aktiv daran, die kompromittierten Pakete und bösartigen Repositories zu entfernen. Sicherheitsfirmen und die Cyber Security Agency of Singapore haben Warnungen herausgegeben.

Sofortige Schutzmaßnahmen umfassen:

• Zugangsdaten erneuern: Alle npm-, GitHub- und Cloud-Zugangsdaten auf potenziell betroffenen Entwicklermaschinen sollten sofort widerrufen und erneuert werden
• Abhängigkeiten prüfen: Eine gründliche Überprüfung aller Projektabhängigkeiten ist notwendig, um bösartige Paketversionen zu identifizieren und zu entfernen
• Sicherheit verstärken: Zwei-Faktor-Authentifizierung (2FA) auf allen Entwicklerkonten ist unerlässlich

Anzeige: Apropos 2FA und Datendiebstahl: Häufig ist das Smartphone der Schlüssel zu Ihren Konten – von WhatsApp über PayPal bis zum Online-Banking. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für Android, Schritt für Schritt und ohne teure Zusatz-Apps. So härten Sie Ihr Gerät in wenigen Minuten gegen Phishing, Malware und Datenklau. Jetzt kostenloses Android‑Sicherheitspaket sichern

Der „Shai-Hulud“-Wurm verdeutlicht die inhärenten Schwachstellen in der Open-Source-Softwarelieferkette. Seine Fähigkeit zur autonomen Verbreitung stellt die Sicherheitsgemeinschaft vor erhebliche Herausforderungen. Das volle Ausmaß der Schäden wird noch bewertet – und die Bedrohung durch schlafenden Code oder gestohlene Zugangsdaten bleibt eine ernste Sorge.