CISA warnt vor massiver Kompromittierung der Software-Lieferkette im npm-Ökosystem

Die US-amerikanische Cybersicherheitsbehörde CISA hat eine Warnung zu einem gravierenden Vorfall im JavaScript-Ökosystem veröffentlicht. Betroffen ist die weltweit größte Paketregistrierungsstelle npmjs.com. Demnach wurde ein sich selbst verbreitender Schadcode, bekannt unter dem Namen „Shai-Hulud“, in Umlauf gebracht. Der Wurm konnte sich in mehr als 500 Paketen einnisten und gefährdet damit die Integrität zahlreicher Softwareprojekte.

Nach dem ersten Zugriff hat der böswillige Cyberakteur Malware eingesetzt, die die Umgebung nach sensiblen Anmeldedaten durchsucht hat. Anschließend hat der Cyberakteur GitHub Personal Access Tokens (PATs) und API-Schlüssel (Application Programming Interface) für Cloud-Dienste wie Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure ins Visier genommen.

Die Malware hat dann:

• die gesammelten Anmeldedaten an einen vom Akteur kontrollierten Endpunkt weitergeleitet.
• Die Anmeldedaten wurden über die GitHub/user/repos API in ein öffentliches Repository namens Shai-Hulud hochgeladen.
• Mithilfe eines automatisierten Prozesses verbreitete sich die Malware rasch, indem sie sich als kompromittierter Entwickler bei der npm-Registry authentifizierte, Code in andere Pakete einschleuste und kompromittierte Versionen in der Registry veröffentlichte.

Die CISA fordert Unternehmen dringend auf, die folgenden Empfehlungen umzusetzen, um diese Kompromittierung zu erkennen und zu beheben:

• Führen Sie eine Abhängigkeitsüberprüfung aller Software durch, die das npm-Paket-Ökosystem nutzt.
  • Überprüfen Sie die Dateien „package-lock.json“ oder „yarn.lock“, um betroffene Pakete zu identifizieren, einschließlich derjenigen, die in Abhängigkeitsbäumen verschachtelt sind.
• Suchen Sie in Artefakt-Repositorys und Abhängigkeitsmanagement-Tools nach zwischengespeicherten Versionen betroffener Abhängigkeiten.
• Fixieren Sie die Versionen der npm-Paketabhängigkeiten auf bekannte sichere Releases, die vor dem 16. September 2025 produziert wurden.
• Wechseln Sie sofort alle Entwickler-Anmeldedaten.
• Verlangen Sie eine phishing-resistente Multi-Faktor-Authentifizierung (MFA) für alle Entwicklerkonten, insbesondere für kritische Plattformen wie GitHub und npm.
• Überwachen Sie das Netzwerk auf anomales Verhalten.
  • Blockieren Sie ausgehende Verbindungen zu webhook.site-Domänen.
  • Überwachen Sie Firewall-Protokolle auf Verbindungen zu verdächtigen Domänen.
• Verstärken Sie die GitHub-Sicherheit, indem Sie unnötige GitHub-Apps und OAuth-Anwendungen entfernen und Repository-Webhooks und Geheimnisse überprüfen.
• Aktivieren Sie Regeln zum Schutz von Branches, GitHub Secret Scanning-Warnungen und Dependabot-Sicherheitsupdates.

Weitere Informationen zu dieser Sicherheitslücke finden Sie in den folgenden Ressourcen:

• GitHub: Unser Plan für eine sicherere npm-Lieferkette
• Palo Alto Networks Unit 42: „Shai-Hulud”-Wurm kompromittiert npm-Ökosystem in Lieferkettenangriff (aktualisiert am 18. September)
• Socket: Aktualisierter und andauernder Lieferkettenangriff zielt auf CrowdStrike-npm-Pakete ab

ReversingLabs: Auf npm gefundene Malware infiziert lokales Paket mit Reverse Shell

Unsere Leseempfehlungen

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky