Shai-Hulud: Was Sie über die Verbreitung von Malware über Software-Pipelines wissen sollten

Kurz gesagt

Shai-Hulud-Malware wurde mit etwa 300 NPM- und PyPI-Paketeinträgen verknüpft.

OpenAI, Microsoft und Mistral AI haben aktuelle Vorfälle im Zusammenhang mit Shai-Hulud offengelegt.

Die Malware missbrauchte GitHub-Aktionen und vertrauenswürdige Software-Publishing-Workflows.

Eine als „Shai-Hulud“ bekannte Malware-Kampagne verbreitet sich über die Software-Pipelines, die Entwickler zum Erstellen und Verteilen von Code verwenden, und wirft neue Bedenken darüber auf, wie stark das moderne Internet mittlerweile von automatisierten Systemen abhängt, die kaum direkter menschlicher Kontrolle unterliegen.

Forscher verknüpften die Shai-Hulud-Malware-Kampagne mit rund 320 Paketeinträgen im Node Package Manager (NPM) und PyPI, zwei der größten Online-Repositories, die Entwickler zum Herunterladen und Teilen von JavaScript- und Python-Softwarepaketen verwenden. Die betroffenen Pakete machen zusammen mehr als 518 Millionen monatliche Downloads aus.

„Shai-Hulud ist von Bedeutung, weil es ein Problem aufdeckt, das wir nicht vollständig lösen können: Moderne Software wird erstellt, indem der Code anderer Leute ausgeführt wird“, sagte Jeff Williams, CTO des kalifornischen Sicherheitsunternehmens Contrast Security, gegenüber Decrypt. „Entwickler ‚laden‘ Bibliotheken nicht einfach nur herunter. Sie installieren sie, erstellen mit ihnen, testen mit ihnen, stellen sie bereit und führen sie schließlich aus. Und wenn Sie eine bösartige Bibliothek ausführen, kann sie fast alles tun, was Sie tun können.“

Fortschritte in der künstlichen Intelligenz erschweren die Bedrohung, sagte Williams und verglich Shai-Hulud damit, einen Computer zu einem Doppelagenten zu machen.

„Das Erschreckende daran ist die Hebelwirkung. Wenn ein Angreifer ein unbekanntes Paket kompromittiert, erhält er nicht nur dieses Paket“, sagte Williams. „Sie bekommen Zugang zu jedem Downstream-Projekt, das ihr vertraut. Dann können sie mehr Token stehlen, mehr vergiftete Pakete veröffentlichen und den Zyklus wiederholen. Die Software-Lieferkette ist keine Kette mehr – sie ist ein Verbreitungsnetzwerk“, fügte er hinzu.

Anfang dieses Monats gab Microsoft Threat Intelligence bekannt, dass Angreifer bösartigen Code in ein über PyPI verteiltes Mistral-KI-Softwarepaket eingefügt haben. Laut Microsoft hat die Malware eine zusätzliche Datei heruntergeladen, die der weit verbreiteten Transformers-Bibliothek von Hugging Face ähneln soll, damit sie sich in Entwicklungsumgebungen für maschinelles Lernen integrieren lässt.

Mistral sagte später, ein betroffenes Entwicklergerät sei an dem Vorfall beteiligt gewesen, fügte jedoch hinzu, dass es „keine Anzeichen dafür gebe, dass die Mistral-Infrastruktur kompromittiert sei“.

Zwei Tage später bestätigte OpenAI, dass Malware im Zusammenhang mit derselben Kampagne zwei Mitarbeitergeräte infizierte und Angreifern Zugriff auf eine begrenzte Anzahl interner Code-Repositorys verschaffte. Das Unternehmen sagte, es habe keine Hinweise darauf gefunden, dass Kundendaten, Produktionssysteme oder geistiges Eigentum kompromittiert worden seien.

Shai-Hulud kommt

Benannt nach den riesigen Sandwürmern in Frank Herberts „Dune“, haben Forscher frühere Versionen der Malware bis September 2025 und Cyberkriminelle namens TeamPCP zurückverfolgt. Die Kampagne erregte jedoch größere Aufmerksamkeit, nachdem am 11. Mai ein großer Angriff auf TanStack stattfand, ein weit verbreitetes Open-Source-JavaScript-Framework, das in Web- und Cloud-Anwendungen verwendet wird.

Shai-Hulud ist Teil einer wachsenden Art von Lieferkettenangriffen, bei denen Hacker vertrauenswürdige Softwaretools oder Dienste kompromittieren, die andere Unternehmen bereits nutzen. Anstatt die Opfer direkt ins Visier zu nehmen, nutzen die Angreifer diese vertrauenswürdigen Systeme, um Schadcode zu verbreiten oder sich Zugang zu Entwicklerumgebungen zu verschaffen.

Forscher sagen, dass die Angriffe gemeinsam genutzte Build-Caches vergiften, sodass zukünftige Software-Releases den Schadcode stillschweigend einschleusen würden. Für einen Entwickler, der die Pakete herunterlädt, sieht alles normal aus, da die Software von vertrauenswürdigen Quellen stammte, gültige Signaturen trug und die üblichen Sicherheitsprüfungen bestanden hat. Das machte den Angriff so beunruhigend.

Am Sonntag berichtete das Cybersicherheitsunternehmen OX Security, dass neue Schadpakete, die die ursprüngliche Malware nachahmen, bereits Cloud- und Krypto-Wallet-Anmeldeinformationen, SSH-Schlüssel und Umgebungsvariablen stehlen. Gleichzeitig versuchten einige Varianten, infizierte Maschinen in DDoS-Botnetze zu verwandeln.

„Ein belastender Beweis dafür, dass es sich hierbei um einen anderen Akteur als TeamPCP handelt, ist, dass der Shai-Hulud-Malware-Code eine fast exakte Kopie des durchgesickerten Quellcodes ohne Verschleierungstechniken ist, wodurch sich die endgültige Version optisch vom Original unterscheidet“, schrieb OX Security. „In unserer Aufschlüsselung zeigen wir den direkten Vergleich der Shai-Hulud-Version als Kreidevorlage mit dem ursprünglichen Quellcode-Leak und zeigen, dass sie gleich sind.“

Neuigkeiten rund um Shai-Hulud kommen, da moderne Softwareentwickler zunehmend auf automatisierte Plattformen wie GitHub Actions angewiesen sind. Gleichzeitig sind Angriffe auf die Lieferkette, die auf Open-Source-Infrastrukturen abzielen, häufiger geworden, da sich Angreifer zunehmend auf Entwicklertools und automatisierte Veröffentlichungssysteme konzentrieren und nicht direkt auf Endbenutzersysteme.

„[Shai-Hulud] ist eine Erinnerung daran, dass die Angriffsfläche von [Systemen, Anwendungen und Produkten] mittlerweile weit über die traditionellen Anwendungsschichten hinaus bis in die Open-Source-Pakete reicht, die moderne Entwicklungs- und Bereitstellungsworkflows unterstützen“, Joris Van De Vis, Director Security Research bei Neth