Gefährlicher Wurm Shai-Hulud 2.0 infiziert npm-Ökosystem und stiehlt Zugangsdaten

Ein neuer gefährlicher Wurm hat das npm-Ökosystem angegriffen und viele Pakete mit Schadsoftware infiziert, die Zugangsdaten stehlen kann. Dieser Code-Schädling, der als Shai-Hulud 2.0 bezeichnet wird, erinnert an einen ähnlichen Vorfall aus dem Jahr 2021. Ob dieselben Akteure dahinterstecken oder unabhängige Gruppen agieren, ist unklar. Der Angriff zeigt, dass Entwickler aus dem vergangenen Fall gelernt haben und Schwachstellen behoben wurden, die Ausbreitung jedoch nun effektiver erfolgt. Dies belegen Angriffe auf npm-Pakete wie den Ethereum Name Service (ENS) sowie API-, Low- und No-Code-Plattformen (Zapier, Postman). Die Initialzündung scheint von Paketen wie go-template und Repositories innerhalb von AsyncAPI zu stammen, die zwischen dem 21. und 23. November in das npm-Ökosystem eingeführt wurden. Der Code-Schädling durchsucht infizierte Pakete nach sensiblen Daten und veröffentlicht diese unter einem bestimmten Namen auf GitHub. Diese Namensgebung erleichtert die Identifizierung der betroffenen Repositories, was im Vergleich zum vorherigen Angriff mit einer missbräuchlich genutzten Webhook-Plattform einen Vorteil bietet. GitHub arbeitet aktiv an der Entfernung gefährdeter Repositories und versucht, dem Angriff entgegenzuwirken, jedoch gibt es Widerstand. Automatische Paketupdates wurden vorübergehend deaktiviert, und Entwickler werden dringend aufgefordert, bei Verdacht auf eine Infektion alle Zugangsdaten zu erneuern (GitHub, npm, Cloud-Anbieter wie GCP, AWS, Azure). Die Situation unterstreicht die Wichtigkeit ständiger Aufmerksamkeit, regelmäßiger Sicherheitsupdates und eines aktiven Handlungsanspruchs bei der Kompromittierung von Open-Source-Software.

Schlagwörter: GitHub + ENS + Postman

Wie bewerten Sie den Schreibstil des Artikels?