Dringende Sicherheitswarnung – „Shai-Hulud”-npm-Wurm

DAVIES MEYER gibt eine dringende Warnung zu einer weit verbreiteten Kompromittierung der npm-Lieferkette heraus. 

Eine sich selbst verbreitende Malware-Kampagne, allgemein bekannt als Shai-Hulud, wurde dabei beobachtet, wie sie npm-Pakete trojanisierte, indem sie die Anmeldedaten von Maintainern kompromittierte und nach der Installation Payloads einfügte, die Tokens und Geheimnisse sammelten.

• Verbreitung: Maintainer-Konten werden kompromittiert, bösartige Pakete werden veröffentlicht, Anmeldedaten werden gestohlen und dazu verwendet, weitere Pakete automatisch zu kompromittieren.

   

• Bösartige Aktionen: Nach der Installation suchen Skripte nach Geheimnissen (npm-Token, GitHub-PATs, Cloud-Schlüssel) und exfiltrieren diese; GitHub-Workflows werden zur Persistenz injiziert.

   

• Umfang: Dutzende bis Hunderte von Paketen sind betroffen, darunter auch solche mit hohem Datenverkehr wie @ctrl/tinycolor.

1. Überprüfe und entfern betroffene Pakete; erstelle sie aus sauberen Quellen neu.

2. Wechsel/widerrufe alle potenziell kompromittierte Anmeldedaten.

3. Überprüfe GitHub-Repositorys/Workflows auf verdächtige Aktivitäten.

4. Setze MFA, geringstmögliche Berechtigungen und strengere CI/CD-Kontrollen durch.

DAVIES MEYER überwacht weiterhin die Feeds der Anbieter (Unit 42, Trend Micro, Wiz, Socket, JFrog) und wird Updates mit Indikatoren für Kompromittierungen (IOCs) veröffentlichen.

👉 Wenn dein Team sofortige Unterstützung bei der Überprüfung von Abhängigkeiten, der Rotation von Anmeldedaten oder der Sicherung von Build-Pipelines benötigt, bitte kontaktiere das Sicherheitsteam von DAVIES MEYER. Wir stehen dir für dringende Überprüfungen und Abhilfemaßnahmen zur Verfügung.