![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Seit voriger Woche treibt Shai-Hulud 2.0, ein Wurm, sein Unwesen und schleust sich \u00fcber NPM-Pakete von einem Opfer zum n\u00e4chsten. Bisher wurden Zugangsdaten von \u00fcber 25.000 GitHub-Repositories entwendet und bis zu 400.000 Entwicklergeheimnisse offen gelegt. Auch die Sicherheitsforscher von Sysdig haben den Wurm in seiner neuen Fassung analysiert und legen nahe, GitHub- und CI\/CD-Umgebungen dringend zu pr\u00fcfen und Zugangsdaten umgehend zu \u00e4ndern.<\/p>\n
<\/p>\n
Dabei wurden rund 400.000 unverf\u00e4lschte Geheimnisse von Entwicklern offengelegt. Vorher wurden Hunderte von Paketen in der NPM-Registrierung (Node Package Manager) infiziert und gestohlene Daten in 30.000 GitHub-Repositorys ver\u00f6ffentlicht.<\/p>\n Obwohl nur etwa 10.000 der offengelegten Geheimnisse durch das Open-Source-Scan-Tool TruffleHog als g\u00fcltig verifiziert wurden, geben Sicherheitsforscher der Cloud-Sicherheitsplattform Wiz an<\/a>, dass mehr als 60 % der durchgesickerten NPM-Token zum 1. Dezember noch g\u00fcltig waren. Details lassen sich bei Wiz oder Bleeping Computer nachlesen.<\/p>\n Sysdig (im Bereich Echtzeit-Cloud-Sicherheit aktiv), warnt in einer mir zugegangenen Mitteilung vor der neuen Version<\/a> 2.0 des Shai-Hulud-Wurms (auch als Sha1-Hulud<\/a> bezeichnet). Der Wurm wurde am 24. November 2025 beobachtet, und verbreitet sich derzeit \u00fcber verseuchte npm-Pakete im Internet. Bislang sind \u00fcber 800 npm-Pakete betroffen, und Zugangsdaten f\u00fcr \u00fcber 25.000 GitHub-Repositories wurden weitergegeben. Das Ausma\u00df und der Umfang der Auswirkungen auf die Opfer, die diese neue Version des Wurms mit sich bringt, \u00fcbertrifft die vorherige Version, da er eine Vielzahl neuer Methoden einsetzt.<\/p>\n Sobald Shai-Hulud ausgef\u00fchrt wird, stiehlt der Wurm Anmeldeinformationen, exfiltriert sie und versucht, weitere NPM-Pakete zu finden, die er infiltrieren kann. Der b\u00f6sartige Code versucht au\u00dferdem, Dateien und Verzeichnisse auf dem System zu l\u00f6schen, auf dem er ausgef\u00fchrt wird. Weiterhin versucht Shai-Hulud sich auf den Rechnern der Opfer einzunisten, indem er einen selbst gehosteten GitHub Actions Runner installiert.<\/p>\n Sicherheitsteams in Unternehmen k\u00f6nnen Shai-Hulud jedoch anhand von Laufzeitinformationen und der verd\u00e4chtigen Verbindungen und Ausf\u00fchrungen erkennen, die von NPM-Installationsbefehlen ausgel\u00f6st werden.<\/p>\n Die neue Version des Shai-Hulud-Wurms verfolgt das gleiche Ziel wie dessen Vorg\u00e4nger, ist aber deutlich raffinierter. Die Schadsoftware wird bereits vor der Installation eines NPM-Pakets aktiv und nutzt ein vorgeschaltetes Skript, um die eigentliche Schadsoftware nachzuladen. Dabei setzt der Wurm auf \u201ebun\", eine moderne JavaScript-Laufzeitumgebung, die er bei Bedarf automatisch herunterl\u00e4dt. Die anschlie\u00dfend ausgef\u00fchrte Datei enth\u00e4lt rund 10 MB stark verschleierten Codes, der zahlreiche Funktionen f\u00fcr den Zugriff auf GitHub sowie Cloud-Dienste wie AWS, GCP und Azure mitbringt.<\/p>\n Die Malware unterscheidet zudem, ob sie in einer CI\/CD-Umgebung oder auf einem Entwicklerrechner l\u00e4uft. Auf lokalen Systemen beendet sich der sichtbare Prozess unauff\u00e4llig, w\u00e4hrend im Hintergrund eine identische, versteckte Version weiterl\u00e4uft.<\/p>\n Bislang hat Shai-Hulud mehr als 800 npm-Pakete infiziert und Zugangsdaten aus zehntausenden GitHub-Repositories abgegriffen \u2013 deutlich mehr als in der ersten Kampagne. Die erbeuteten Informationen legt der Wurm in mehreren verschl\u00fcsselten Dateien in einem neu angelegten GitHub-Repository ab. Dazu geh\u00f6ren unter anderem:<\/p>\n Das ist das, was Bleeping Computer weiter oben \u00fcber Wiz im betreffenden Beitrag offen gelegt hat.<\/p>\n Benutzer, die von Shai-Hulud betroffen sind, sollten alle gef\u00e4hrdeten Pakete sofort entfernen und ersetzen, empfiehlt Sysdig. Zudem sollten Sicherheitsverantwortliche den NPM-Cache leeren und dann alle Abh\u00e4ngigkeiten auf bekannte, saubere Versionen zur\u00fccksetzen oder die Builds von vor dem Vorfall wiederherstellen.<\/p>\n Betroffene sind zudem angehalten, alle Zugangsdaten, die m\u00f6glicherweise offengelegt wurden, sofort zu \u00e4ndern. NPM-Tokens, GitHub-PATs, Anmeldedaten von Cloud-Anbietern und alle anderen Anmeldedaten, die m\u00f6glicherweise offengelegt wurden, sollten widerrufen und neu generiert werden.<\/p>\n Zuletzt sollten die Benutzer eine \u00dcberpr\u00fcfung ihrer GitHub- und CI\/CD-Umgebungen durchf\u00fchren. Die Suche sollte sich auf neu erstellte Repositories fokussieren, die \u201eSha1-Hulud\" in der Beschreibung enthalten, und ihre Workflows und Commit-Historie auf nicht autorisierte \u00c4nderungen \u00fcberpr\u00fcfen. Die Benutzer sollten NPM auf unerwartete Ver\u00f6ffentlichungen au\u00dferhalb des Geltungsbereichs ihrer Organisation hin \u00fcberpr\u00fcfen.<\/p>\n Eine sehr umfangreiche Analyse mit dem Titel\u00a0Return of the Shai-Hulud worm affects over 25,000 GitHub repositories<\/a> wurde im Sysdig-Blog ver\u00f6ffentlicht. Dort hat Sysdig auch offen gelegt, wie die eigene Sysdig Secure-Plattform den Sch\u00e4dling erkennen kann.<\/p>\n Aufgrund der zunehmenden H\u00e4ufigkeit von Angriffen auf die Lieferkette ist die \u00dcberwachung von Paketen Dritter auf b\u00f6sartige Aktivit\u00e4ten wichtiger als je zuvor. Angesichts der vielf\u00e4ltigen Methoden zur Verschleierung von b\u00f6sartigem Code ist die Erkennung von Laufzeitbedrohungen f\u00fcr die Erkennung und Eind\u00e4mmung dieser Angriffe unerl\u00e4sslich. Unerl\u00e4sslich f\u00fcr die Bek\u00e4mpfung von Bedrohungen wie Shai-Hulud sind Laufzeittransparenz, Erkennungsfunktionen und ein Inventarsystem, das die Identifizierung von Umgebungen erleichtert, die von b\u00f6sartigen Paketen betroffen sind.<\/p>\n Erg\u00e4nzung:<\/strong> Weil es in den Kommentaren angesprochen wurde – Shai-Hulud ist in der urspr\u00fcnglichen Version bereits im September 2025 aktiv gewesen (siehe meinen Blog-Beitrag\u00a0Der npm-Angriff geht weiter \u2013 \"Wurm\" infiziert Pakete<\/a>).<\/p>\n","protected":false},"excerpt":{"rendered":" Seit voriger Woche treibt Shai-Hulud 2.0, ein Wurm, sein Unwesen und schleust sich \u00fcber NPM-Pakete von einem Opfer zum n\u00e4chsten. Bisher wurden Zugangsdaten von \u00fcber 25.000 GitHub-Repositories entwendet und bis zu 400.000 Entwicklergeheimnisse offen gelegt. Auch die Sicherheitsforscher von Sysdig … Weiterlesen Das Thema ist mir \u00fcber zwei Kan\u00e4le untergekommen. Die Kollegen von Bleeping Computer haben den Beitrag\u00a0Shai-Hulud 2.0 NPM malware attack exposed up to 400,000 dev secrets<\/a> ver\u00f6ffentlicht. Die Botschaft lautet, dass es vorige Woche einen zweiten Angriff der Shai-Hulud-Malware gab.<\/p>\n
![\"Shai-Hulud](\"https:\/\/i.postimg.cc\/CK1pppn0\/image.png\")
<\/a>
\nShai-Hulud 2.0-Angriff, Quelle Wiz<\/a><\/p>\nShai-Hulud 2.0-Analyse von SysDig<\/h2>\n
Das macht Shai-Hulud<\/h3>\n
Die Vorgehensweise von Shai-Hulud V2<\/h3>\n
Die Auswirkungen der zweiten Shai-Hulud-Kampagne<\/h3>\n
\n
Schritte zur Behebung des Problems<\/h2>\n
Das Fazit aus dem Vorfall<\/h2>\n