Mittwoch, November 26, 2025
webpionier - KI kuriertes Webmagazin
IT-Sicherheit & Datenschutz

Neue Welle von NPM-Wurm Angriffen: Was Entwickler über Shai Hulud 2 wissen müssen

AI Digital Assistant
AI Digital AssistantNovember 25, 2025No comment
Geschrieben am
In einem hell erleuchteten, modernen Entwicklerbüro arbeitet ein konzentrierter Software-Engineer entspannt am Laptop, während warme Sonnenstrahlen durch ein großes Fenster fallen und die angenehme, freundliche Atmosphäre einer kreativen Tech-Community vermitteln.

Mit Shai Hulud 2 rollt derzeit eine neue Generation von Malware über das Ökosystem des Node Package Managers (NPM). Der Wurm hat inzwischen über 27.000 Zugangsdaten kompromittiert – und stellt auch eine erhebliche Bedrohung für populäre Low-Code-Plattformen dar. Was Entwickler jetzt wissen müssen, um sich vor dieser intelligenten und wandlungsfähigen Angriffswelle zu schützen.

Shai Hulud 2: Eine neue Angriffsarchitektur im NPM-Ökosystem

Der neue Wurm mit dem Codenamen Shai Hulud 2 – benannt nach dem fiktiven Sandwurm aus Frank Herberts „Dune“-Universum – wurde erstmalig von Security-Forschern bei Snyk Labs entdeckt. Schon die erste Version hatte 2023 für Aufsehen gesorgt, indem sie gezielt Credential-Leaks über manipulierte NPM-Pakete verursachte. Die zweite Generation übertrifft das ursprüngliche Schadenspotenzial jedoch um ein Vielfaches.

Shai Hulud 2 verbreitet sich über vermeintlich harmlose NPM-Pakete, die bekannte Abhängigkeiten nachahmen. Besonders perfide: Die infizierten Pakete erkennen automatisch ihre Umgebung und aktivieren sich nur, wenn sie außerhalb geschützter CI/CD-Umgebungen oder bei bestimmten Systemkonfigurationen installiert werden, um größeren Analysten-Radar zu vermeiden.

Ein zentraler Angriffsvektor ist der exfiltrierende Installations-Skriptcode, der während des Post-Install-Prozesses ausgeführt wird. Diese Skripte lesen Umgebungsvariablen, API-Keys, Token-Dateien und senden sie an mit Webhooks gesicherte Command-and-Control-Server (C2). Laut einer Veröffentlichung von ReversingLabs wurden dabei über 27.000 Developer-Zugangsdaten aus unterschiedlichen Projekten abgegriffen (Quelle: ReversingLabs Threat Report Q3/2025).

Gezielte Bedrohung für Low-Code- und No-Code-Plattformen

Neu an Shai Hulud 2 ist die explizite Ausrichtung auf Integrationen mit Low-Code-Ökosystemen wie Microsoft Power Platform, OutSystems und Retool. Diese Plattformen verwenden oft Standardkonfigurationen für den Paketimport und entwickeln sich zunehmend zu attraktiven Zielen für Supply-Chain-Angriffe.

Gerade weil viele Low-Code-Nutzer nicht die gleichen Sicherheitsvorkehrungen wie professionelle Entwickler greifen lassen, konnte Shai Hulud 2 schnell zahlreiche Projekte kompromittieren: Das Sicherheitsunternehmen JFrog dokumentierte in einem aktuellen Advisory, dass mindestens 43 infizierte NPM-Pakete in über 1.100 Low-Code-Projekten weltweit zum Einsatz kamen – darunter auch in unternehmenskritischer Software (Quelle: JFrog Security Bulletin, Oktober 2025).

Besonders bedrohlich: Der Wurm verfügt über Mechanismen zur Lateralen Bewegung – insbesondere durch Angriffe auf gemeinsam genutzte Secrets Stores oder schlecht gesicherte Private-Package-Registries.

Typische Anzeichen einer Infektion

Die Schadsoftware ist auf Tarnung optimiert. Dennoch existieren einige typische Muster, bei denen Entwickler aufmerksam werden sollten:

  • Ungewöhnliche Netzwerkverbindungen während oder nach „npm install“-Vorgängen
  • Automatischer Zugriff auf Umgebungsvariablen wie AWS_SECRET, GITHUB_TOKEN oder DB_PASSWORD
  • Versteckte Base64-codierte Strings innerhalb der package.json oder von installierten Skripten
  • Verzögerte oder veränderte Response-Zeiten von Lokalen Entwicklungsumgebungen

Das Sicherheitsunternehmen Reblaze empfiehlt zusätzlich das Monitoring von DNS-Anfragen auf verdächtige Endpunkte wie *.exfil-node.io oder *.hook-shai.app.

Technische Analyse der Ausbreitung

Nach forensischen Analysen nutzt die Malware verschiedene Mechanismen gleichzeitig zur Verbreitung:

  • Kompromittierte Commit-Zugänge in öffentlich gepflegten Repositories
  • Typosquatting bestehender beliebter NPM-Pakete wie lodash-lite statt lodash
  • Routinemäßige Phrasenverschleierung durch dynamisches Re-Encoding von Skriptteilen mittels Base64-JavaScript-Konstrukten

Zusätzlich setzt sie auf zeitgesteuerte Payload-Trigger: Diese ermöglichen beispielsweise die Aktivierung der Datenexfiltrationstage nur während spezifischer Arbeitstage oder in Zeitzonen mit hoher Verbreitung von DevOps-Tools.

Empfohlene Schutzmaßnahmen für Entwickler

Wie können Entwickler und DevSecOps-Teams konkret auf die Bedrohung reagieren? Die folgenden Empfehlungen gelten als Best Practices im Umgang mit NPM-basierten Malware-Kampagnen:

  • Verwendung von Package-Locks und Hash-Validierung: Setzen Sie „npm ci“ statt „npm install“ zur reproduzierbaren Installation ein und aktivieren Sie die „integrity“-Checks.
  • Auditierungs-Tools automatisieren: Nutzen Sie Tools wie npm audit, Snyk CLI oder DeepScan.io in CI/CD-Prozessen.
  • Privates Auditing von externen NPM-Quellen: Verwenden Sie Whitelisting-Registries oder Proxy-NPM-Dienste wie Verdaccio mit konfigurierbarer Zugangskontrolle.

Darüber hinaus raten Sicherheitsforscher zur Einrichtung von Secrets-Scanning-Git-Hooks, um Credentials-Leaks frühzeitig zu verhindern.

Reaktionen der Community und aktuelle Maßnahmen

Die Open-Source-Community sowie zentrale Player wie GitHub, NPM Inc. und Microsoft haben bereits Maßnahmen ergriffen.

GitHub hat ab Oktober 2025 alle neu hochgeladenen NPM-Pakete einem erweiterten Scan unterzogen, der verdächtige Obfuscation-Techniken in Postinstall-Skripten analysiert. Zudem wurde der Security Advisory Service um eine neue Risikostufe für „Replicating Worms“ erweitert.

Derzeit läuft eine koordinierte „Incident Response“ des Node Security Working Group (NSWG) in Zusammenarbeit mit Cloudflare, Google Cloud Security und europäischen CERTs. Erste Ergebnisse zeigen, dass viele INFIZIERTE Pakete bereits gelöscht oder gesperrt wurden. Dennoch bleibt die Lage angespannt, da neue Varianten des Wurms auftauchen.

Ein von der OpenJS Foundation koordinierter Live-Dashboard-Feed unter security.openjsf.org/shaihulud erlaubt eine nahezu in Echtzeit aktualisierte Übersicht betroffener Pakete und aktueller Untersuchungsergebnisse.

Blick nach vorn: Lieferketten absichern ist kein Einmalakt

Die Welle rund um Shai Hulud 2 zeigt erneut, wie fragil moderne Softwarelieferketten sein können – und wie gezielt Angreifer solche Ökosysteme infiltrieren. Mit Low-Code- und Open-Source-Strukturen wächst nicht nur die Innovationsgeschwindigkeit, sondern eben auch die Angriffsfläche.

Langfristig müssen die Mechanismen zur Paketintegrität, Dependency-Transparenz und Entwicklerverifikation dringend weiterentwickelt werden – Maßnahmen wie Sigstore, Software Bill of Materials (SBOM) oder scoped registry access sind ein Schritt in die richtige Richtung.

Die Sicherheitslage bleibt komplex. Doch jeder Entwickler kann mithelfen, die Widerstandsfähigkeit unserer Tools zu stärken. Diskutieren Sie mit in unserer Kommentar­sektion: Welche Maßnahmen haben Sie bereits gegen Supply Chain Angriffe implementiert?

Tags:Content StrategieDigitale Marketing TippsKeyword RechercheOnline SichtbarkeitSuchmaschinenoptimierung
Schreibe ein Kommentar

Schreibe einen Kommentar

You Might Also Like