Seit Anfang Juni 2026 greifen neue Varianten des selbstreplizierenden Shai-Hulud-Wurms die Software-Lieferketten von NPM und PyPI an. Hunderte bösartige Pakete und Repositories wurden infiziert. Die Angriffe zielen gezielt auf Cloud-Entwickler und Nutzer von KI-Programmierassistenten ab.
Miasma-Variante trifft Red Hat und Microsoft
Die Kampagne nahm Anfang Juni Fahrt auf: Über 30 NPM-Pakete des Red Hat Cloud Services Ökosystems wurden mit der Miasma-Malware infiziert. Sicherheitsforscher von Wiz beschreiben einen mehrstufigen Ansatz, der automatisiertes Ernten von Zugangsdaten mit einer selbstpropagierenden Komponente verbindet.
Anzeige: Die Shai-Hulud-Kampagne hat bereits 471 bösartige Artefakte in NPM und PyPI identifiziert – mit gefälschten Integritätsnachweisen und Geofencing-Techniken. Cloud-Entwickler und KI-Programmierer sind das Hauptziel. Dieser kostenlose Report liefert eine Checkliste zur Erkennung infizierter Pakete und ein Sicherheitsaudit für Ihre Repositories. Jetzt kostenlosen Sicherheits-Report anfordern
Besonders perfide: Die Angreifer setzten gefälschte SLSA-Provenance-Attestierungen ein. Diese täuschten eine falsche Integrität der kompromittierten Pakete vor.
Am 5. Juni folgte der nächste Schlag: 73 Microsoft-Repositories auf GitHub wurden direkt angegriffen, darunter Projekte aus dem Azure-Umfeld und Durabletask-Komponenten. Die Angreifer injizierten bösartigen Code teilweise ohne den Umweg über Paketregister direkt in die Repositories.
GitHub reagierte innerhalb von 105 Sekunden und deaktivierte den Zugriff auf die betroffenen Projekte. Zu den infizierten Paketen in der NPM-Registry gehörte unter anderem das SDK eines KI-Anbieters mit über 400.000 monatlichen Downloads.
Hades-Kampagne jagt KI-Entwickler
Parallel zur Miasma-Welle verbreitete sich ab dem 1. Juni die Hades-Variante im Python-Paketindex PyPI. Am 8. Juni wurde eine zweite Welle mit 29 bösartigen Paketen registriert, gefolgt von weiteren 23 kompromittierten Paketen am gestrigen Montag.
Die Angriffe richten sich gezielt gegen Entwickler, die mit dem Model Context Protocol (MCP) und KI-Frameworks arbeiten. Die Hades-Malware nutzt spezialisierte Lademechanismen wie Startup-Hooks und native Erweiterungen, um eine Bun-basierte JavaScript-Runtime auszuführen.
Ziel ist der Diebstahl von GitHub-Tokens, SSH-Schlüsseln sowie Anmeldedaten für Cloud-Anbieter wie AWS, Azure und Google Cloud Platform. Auch Zugangsdaten für Paketregister wie NPM, PyPI und RubyGems werden systematisch abgegriffen.
Gefälschte Integritätsnachweise und Verzögerungstaktiken
Insgesamt wurden im Rahmen der Shai-Hulud-Kampagne bisher 471 bösartige Artefakte identifiziert – der Großteil entfällt auf NPM. Die Angreifer setzen hochentwickelte Techniken ein, um Sicherheitsmechanismen zu umgehen.
Anzeige: Ihre KI-Coding-Agenten in VS Code, Cursor oder Claude Code sind das Einfallstor: Die Hades-Malware installiert Persistenzmechanismen in den Konfigurationsdateien dieser Werkzeuge und stiehlt GitHub-Tokens sowie Cloud-Zugangsdaten. Schützen Sie Ihre Entwicklungsumgebung mit 5 konkreten Schutzmaßnahmen aus diesem Report. Entwicklungsumgebung jetzt absichern
Dazu gehören kleine Konfigurationsdateien, die herkömmliche Scanner für Installationsskripte unterlaufen, sowie Geofencing und Mechanismen zur Erkennung von Sandbox-Umgebungen. In einigen Fällen wartete die Malware 48 Stunden ab, bevor sie aktiv wurde – um eine Entdeckung während der initialen Analyse zu vermeiden.
Besonders kritisch: Die Infiltration von KI-Coding-Agenten und Entwicklungsumgebungen wie VS Code, Cursor oder Claude Code. Die Malware installiert Persistenzmechanismen direkt in den Konfigurationsdateien dieser Werkzeuge. Sobald Entwickler infizierte Repositories klonen oder in ihren KI-gestützten Editoren öffnen, wird der Schadcode ausgelöst.
Forscher ordnen die Kampagne der Gruppe TeamPCP zu. Diese soll bereits im Mai den Quellcode für frühere Versionen des Wurms veröffentlicht haben. Die betroffenen Paketregister haben die meisten der identifizierten bösartigen Versionen nach deren Entdeckung zügig entfernt.
