NPM-Supply-Chain-Wurm Shai-Hulud 3.0: Analyse der neuen Angriffswelle

Eine weiterentwickelte Variante des Shai-Hulud-Wurms infiltriert das NPM-Ökosystem über kompromittierte Pakete. Patrick Munch von Mondoo dokumentiert die technischen Neuerungen der Malware und zeigt Abwehrstrategien für Entwicklungsumgebungen auf.

Neue Bedrohungslage im NPM-Ökosystem

Das NPM-Ökosystem sieht sich einer fortgeschrittenen Version des Shai-Hulud-Wurms gegenüber. Die als Version 3.0 bezeichnete Malware verbreitet sich über das Paket @vietmoney/react-big-calendar@0.26.2 und zeigt deutliche Weiterentwicklungen gegenüber ihren Vorgängern. Patrick Munch, Chief Security Officer bei Mondoo, hat die Bedrohung analysiert und dokumentiert deren veränderte Vorgehensweise.

Das primäre Ziel der Schadsoftware bleibt unverändert: Die Kompromittierung von Entwicklungsumgebungen und CI/CD-Pipelines zur Exfiltration sensibler Authentifizierungsdaten. Die aktuelle Version demonstriert jedoch das Bestreben der Angreifer, Persistenz und Verbreitung zu optimieren.

Technische Weiterentwicklungen der Malware

Die Untersuchung von Shai-Hulud 3.0 offenbart mehrere substantielle Modifikationen:

Optimierte Verschleierungstechniken: Die Schadsoftware nutzt verbesserte Obfuskationsmethoden, die statische Analysen und manuelle Code-Reviews erschweren. Der Zugriff auf Originalquellcode deutet auf eine gut ausgestattete Operation hin.

Erweiterte Systemkompatibilität: Erstmals unterstützt die Malware explizit Windows-Betriebssysteme durch Plattformprüfung und Aufruf von bun.exe. Die Fehlerbehandlung wurde optimiert, insbesondere für das Secrets-Scanning-Tool TruffleHog.

Entfernung von Abbruchmechanismen: Anders als frühere Versionen verzichtet die aktuelle Variante auf einen Notausschalter. Dies ermöglicht kontinuierliche Datenexfiltration ohne Unterbrechungsmöglichkeit.

Aktualisierte Datenartefakte: Die Malware verwendet neue Bezeichnungen für Payload-Dateien (bun_installer.js, environment_source.js) und exfiltrierte Daten (3nvir0nm3nt.json, cl0vd.json, c9nt3nts.json). Die Command-and-Control-Infrastruktur identifiziert sich über das GitHub-Repository mit der Beschreibung „Goldox-T3chs: Only Happy Girl“.

Ablauf des Angriffsszenarios

Die Infektionskette folgt einem etablierten Supply-Chain-Muster:

Automatische Ausführung: Das kompromittierte Paket enthält ein Preinstall-Script in der package.json-Datei. Bei der Installation durch NPM wird dieses Script ohne Benutzerinteraktion ausgeführt, was einer Zero-Click-Kompromittierung entspricht.

Payload-Aktivierung: Das initiale Script startet bun_installer.js, welches die Hauptkomponente environment_source.js nachlädt.

Datensammlung: Die Kernfunktion nutzt TruffleHog für das systematische Scannen lokaler Systeme. Zielressourcen umfassen:

• NPM-Authentifizierungstokens
• Cloud-Provider-Zugangsdaten
• CI/CD-Pipeline-Secrets

Die gesammelten Informationen werden lokal gespeichert und anschließend an die GitHub-basierte Infrastruktur der Angreifer übermittelt.

Munch konstatiert: „Angriffe auf den Kern der Software-Lieferkette bieten Angreifern ein breites Spektrum, um Anmeldedaten zu sammeln und Chaos zu verursachen. Wir rechnen mit einer Zunahme ähnlicher Angriffe mit großer Wirkung in mehreren Softwareentwicklungs-Ökosystemen.“

Empfohlene Schutz- und Reaktionsmaßnahmen

Reaktive Ansätze erweisen sich als unzureichend. Organisationen müssen präventive Sicherheitskontrollen etablieren. Munch empfiehlt folgende Sofortmaßnahmen:

Identifikation und Entfernung: Alle Entwicklungs- und Produktionsumgebungen sind auf das Paket @vietmoney/react-big-calendar@0.26.2 zu prüfen und umgehend zu bereinigen.

Credential-Rotation: Jede Umgebung mit installiertem Paket ist als kompromittiert zu betrachten. Sämtliche Zugangsdaten für Cloud-Dienste, Versionskontrollsysteme, NPM-Registry und CI/CD-Plattformen müssen erneuert werden.

Forensische Untersuchung: Repositories und Systeme sollten auf die charakteristischen Dateiartefakte (3nvir0nm3nt.json, c9nt3nts.json) untersucht werden, um das Ausmaß der Kompromittierung zu bestimmen.

Die vollständige technische Analyse sowie Indicators of Compromise stellt Mondoo über seine Sicherheitsplattform bereit.

---

Dieser Bericht beschreibt die Entdeckung einer neuen Variante der Shai-Hulud-Malware in einem npm-Paket. Hier sind die wichtigsten Punkte:

Was wurde entdeckt:

• Eine neue Version der Shai-Hulud-Malware tauchte im npm-Paket @vietmoney/react-big-calendar auf
• Charlie Eriksen von Aikido Security entdeckte sie und veröffentlichte nur 30 Minuten später einen Bericht

Einschätzung der Bedrohung: Eriksen, der bereits die beiden vorherigen Shai-Hulud-Varianten analysiert hat, stuft dies als Testphase ein. Es gibt derzeit keine Anzeichen für eine großflächige Infektionskampagne. Seine Vermutung: Die Angreifer wurden beim Testen ihrer Schadsoftware erwischt, bevor sie einen größeren Angriff starten konnten.

Kontext: Shai-Hulud ist eine bekannte Malware-Familie, die auf npm-Pakete abzielt. Solche Supply-Chain-Angriffe sind besonders gefährlich, da Entwickler unwissentlich kompromittierte Pakete in ihre Projekte einbinden können.

Erfahren Sie mehr über:

---