600+ npm-Pakete in neuem Mini-Shai-Hulud-Versorgungskettenangriff kompromittiert

Mai 2026 und setzte sich bis UTC fort. Die Erkennungssysteme Aktivitäten innerhalb von 6 bis nach der Veröffentlichung; die mittlere Erkennungszeit betrug 6,.

Endor Labs beobachtete unabhängig davon zwischen und UTC 42 bösartige Pakete und konnte den Ursprung der Kampagne auf zwei lang inaktiv gewesene Pakete zurückverfolgen: jest-canvas-mock und size-sensor, über drei Jahren veröffentlicht worden war.

Über den gesamten bisher verfolgten Mini-Shai-Hulud-Kampagnenzeitraum hinweg haben Forscher 1.055 kompromittierte Versionen in 502 einzigartigen Paketen bestätigt, die npm (1.048 Versionen), PyPI (6 Versionen) und Composer (1 Version) umfassen. Mehr als 600 kompromittierte npm-Pakete.

Sicherheitslage und Risiko

Die injizierte Payload wird zum Installationszeitpunkt über einen preinstall-Lebenszyklus-Hook ausgeführt: `json "preinstall": "bun run index.js"` Eine auf Root-Ebene befindliche index.js-Datei, die stark obfusziert ist und eine String-Array-Lookup-Tabelle sowie einen benutzerdefinierten Entschlüsseler nutzt, der über globalThis exponiert wird, führt sich automatisch bei der Paketinstallation aus.

Die Payload extrahiert gestohlene Daten an einen fest codierten HTTPS-Endpunkt: https://t[.]m-kosche[.]com:443/api/public/otel/v1/traces. Die gesammelten Daten werden gzip-komprimiert, mit AES-256-GCM verschlüsselt und der AES-Schlüssel vor der Übertragung mit RSA-OAEP/SHA-256 umschlossen – ein mehrstufiger Ansatz, der die Wiederherstellung soll.

Die Payload zielt aggressiv auf Entwicklerumgebungen und CI/CD-Workflows ab und erbeutet: GitHub-Tokens, npm-Tokens sowie AWS-Zugangsdaten (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, AWS_SESSION_TOKEN) Materialien für Kubernetes-Service-Accounts (KUBECONFIG, KUBERNETES_SERVICE_HOST) Vault-Tokens (VAULT_TOKEN, VAULT_AUTH_TOKEN) SSH-/Private-Schlüssel, Docker-Authentifizierungsdateien und Datenbankverbindungsstrings Das Malware-Tool enthält explizite Logik für über 18 CI/CD-Plattformen, darunter GitHub Actions, GitLab CI, CircleCI, Jenkins, Azure DevOps, AWS CodeBuild, Vercel, Netlify und Cloudflare Pages.

Technischer Hintergrund

Wird ein funktionierendes GitHub-Token erlangt, erstellt die Payload Repositories unter dem Konto des Opfers und speichert die gestohlenen Daten im Pfad results/results--.json.

Öffentliche GitHub-Suchen zeigen derzeit etwa 1.900 dem umgekehrten Kampagnenmarker niagA oG eW ereH:duluH-iahS (entschlüsselt: „Shai-Hulud: Here We Go Again") sowie Repository-Namen mit Dune-Motiven wie sayyadina-stillsuit-852 und atreides-ornithopter-112.

Das Repository Zaynex/sayyadina-stillsuit-852 wurde als aktives Exfiltrierungs-Staging-Repository bestätigt.

Technik und Auswirkungen

Der Wurm missbraucht zudem gestohlene npm-Tokens, um wartbare Pakete zu enumerieren, die Payload einzufügen, Versionsnummern zu erhöhen und neu zu veröffentlichen, wodurch sich die Selbstverbreitung im npm-Ökosystem unter den Identitäten legitimer Maintainer ermöglicht.

Endor Labs hebt in dieser Welle drei neue Verhaltensweisen hervor: Missbrauch: Der Wurm ruft Fulcio und Rekor zur Laufzeit auf, um gültige Signierzertifikate und Einträge in Transparenzprotokolle zu erhalten, wodurch Provenienz-Tools trotz einer bösartigen Build-Kette ein grünes Abzeichen anzeigen.

Zielsetzung auf inaktive Konten: Pakete wie jest-canvas-mock, size-sensor und timeago.js (seit 3 bis 10 Jahren inaktiv) wurden als Einstiegspunkte genutzt, da ältere Konten weniger Aufmerksamkeit auf sich ziehen.

Technischer Hintergrund

Übernahme eines Namensraums mit einem einzigen Token: Mindestens 37 Pakete im Bereich @antv/* sind als bösartig bestätigt, was auf einen einzigen gestohlenen Token zurückzuführen ist, der Veröffentlichungsrechte für den gesamten Namensraum besitzt. Indikatoren für Kompromittierungen C2-Endpunkt: Indikator: t[.]m-kosche[.]com:443/api/public/otel/v1/traces.

GitHub-Marker: Indikator: niagA oG eW ereH:duluH-iahS. Repository-Muster: Indikator: -. Exfiltrationspfad: Indikator: results/results-*.json. Zielgeheime Schlüssel: Indikator: GITHUB_TOKEN, AWS_ACCESS_KEY_ID, VAULT_TOKEN, KUBECONFIG. Mitigations Überprüfen Sie umgehend alle kürzlich aktualisierten Pakete @antv/*, @lint-md, @openclaw-cn und @starmind.

Drehen Sie alle in CI/CD-Umgebungen freigegebenen GitHub-Token, npm-Token, AWS-Zugangsdaten und Vault-Token neu. Verlassen Sie sich nicht ausschließlich auf Sigstore-Provenienz-Abzeichen als Indikatoren für die Integrität. Überwachen Sie die npm-Installationsprotokolle auf unerwartete Preinstall-Skripte, die bun aufrufen.

Technik und Auswirkungen

Blockieren Sie ausgehende Verbindungen zu t[.]m-kosche[.]com am Netzwerkrand. Sowohl Socket als auch Endor Labs haben detaillierte Warnungen veröffentlicht; hier ist die Liste der betroffenen Pakete.

Organisationen, die ängig sind, sollten alle freigegebenen Zugangsdaten als vollständig kompromittiert betrachten und unverzüglich Reaktionsverfahren für Sicherheitsvorfälle einleiten.