npm-Wurm Shai-Hulud: Angriff der Klone

Das ist ein besonderes Open-Source-Projekt: Die Drahtzieher der Cybergang TeamPCP haben den Quellcode des npm-Wurms Shai-Hulud auf GitHub veröffentlicht. Im Untergrundforum BreachForums haben sie zudem einen Wettbewerb aufgezogen und andere Kriminelle aufgefordert, mit dem Code loszulegen.

In einem Blog-Beitrag schreiben IT-Forscher von Mondoo, dass nur wenige Tage später die ersten Klone auf npm erschienen sind. Ein Einzeltäter etwa lud gleich vier bösartige Pakete hoch, eine nahezu identische Kopie von Shai-Hulud mit einer eigenen Command-and-Control-Infrastruktur – und drei Tippfehler-Versionen von „Axios“. Sie enthalten Botnet-Schadfunktionen, die infizierte Systeme in ein DDoS-Netzwerk integrieren. Ziel seien Programmierer mit dicken Fingern, erklären die IT-Forscher. Die Anzahl wöchentlicher Downloads liegt derzeit bei rund 2600, was für npm-Pakete tatsächlich wenig ist. Einige weitere Kopien listet OXsecurity auf. Eine Schwemme an npm-Wurm-Paketen steht zu erwarten, da nun viele Interessierte auf dem Quellcode aufbauen können.

Aktueller Shai-Hulud-Supply-Chain-Angriff

Dazu passt auch, dass Microsofts Threat Intelligence eine aufkommende Mini-Shai-Hulud-Lieferkettenattacke untersucht, wie die Gruppe auf Bluesky erklärt. Die Angreifer haben es auf „antv“ abgesehen – sie konnten ein Konto eines Projekt-Maintainers kompromittieren und haben infizierte Versionen von weit verbreitet eingesetzten Paketen veröffentlicht, etwa „antv/g2“. Diese Pakete kommen als Abhängigkeit weitläufig zum Einsatz. Die kompromittierten Pakete propagierten sich in Bibliotheken wie „echarts-for-react“, wodurch ein großer Bereich von Apps und Build-Systemen betroffen sind.

Der Schadcode dient auch hier dazu, Zugangsdaten zu suchen und auszuschleusen. Begehrte Ziele sind persönliche GitHub-Zugriffstoken, OpenID-Token, Amazon AWS-Zugangsdaten und Sicherheitstoken, SSH-Keys, Kube-Konfigurationen oder andere Software-as-a-Service-Token, schreibt Microsoft. Eine Verknüpfung zum Shai-Hulud-Open-Source-Code erwähnt Microsoft allerdings nicht.

npm-Wurm Shai-Hulud

Der npm-Wurm Shai-Hulud hat Softwareentwickler im Visier. In sogenannten Lieferkettenangriffen ist der Schadcode in npm-Paketen eingebettet, die Programmierer in ihre Projekte einbinden. Dazu setzen die Malware-Autoren in der Regel auf Namensähnlichkeiten zu populären Paketen oder auf Tippfehler-Varianten der Namen der echten Pakete. Sofern die schädlichen npm-Pakete eingebunden sind, läuft auch der Schadcode mit. Shai-Hulud 2 hatte im vergangenen November so mehr als 27.000 Zugangsdaten geklaut. Damit können die Angreifer etwa kostspielige Ressourcen bei Cloudanbietern missbrauchen oder Spionage betreiben und weitere Pakete infizieren.

(dmk)