Shai-Hulud-Angriff: JFrog zeigt Schwachstellen in der Open-Source-Sicherheit auf

Open Source ist das Rückgrat der digitalen Infrastruktur, doch die jüngste Shai-Hulud-Angriff offenbart, wie fragil ihre Lieferkette tatsächlich ist. Das JFrog Security Research Team hat 164 kompromittierte npm-Pakete in 338 Versionen identifiziert, die darauf ausgelegt waren, Zugangsdaten von Entwickler-Rechnern und CI/CD-Umgebungen abzugreifen. Betroffen waren Tokens für AWS, GCP, GitHub und npm, die in von Angreifern kontrollierte GitHub-Repositories exfiltriert wurden.

Der Angriff nahm mit einer manipulierten Version von @ctrl/tinycolor seinen Anfang und breitete sich rasch auf weitere stark genutzte Bibliotheken wie angulartics2, koa2-swagger-ui und react-jsonschema-form-conditionals aus. Varianten des manipulierten Payloads zeigten eine zunehmende Raffinesse: Sie nutzten Tools wie TruffleHog, um nach geheimen Schlüsseln zu suchen, und experimentierten mit unterschiedlichen Exfiltrationsmethoden. Umfang und Geschwindigkeit verdeutlichen, wie sich Kompromittierungen in der Lieferkette binnen weniger Tage durch gesamte Ökosysteme fortpflanzen können.

Shachar Menashe, VP Security Research bei JFrog, warnt eindringlich vor einem trügerischen Vertrauen in populäre Pakete:

„Der npm-Angriff fügt sich in ein wachsendes Muster ein, bei dem Angreifer gezielt Maintainer populärer, aber unzureichend ausgestatteter Open-Source-Projekte attackieren. Der umfangreiche und technisch ausgefeilte xz-Backdoor-Angriff Anfang 2024 etwa gelang, weil XZ Utils personell unterbesetzt war und die Betreuer externe Hilfe anforderten.
Die eigentliche Herausforderung ist die Geschwindigkeit. Sobald ein vertrauenswürdiges Paket kompromittiert ist, kann es sich über CI/CD-Pipelines und in viele Projekte hinein rasch ausbreiten. Ein Zero-Trust-Ansatz ist entscheidend: Keinem Paket darf allein wegen seiner Popularität uneingeschränkt vertraut werden.“

Das JFrog Security Research Team empfiehlt, zur Eindämmung solcher Angriffe die verpflichtende Einführung von Zwei-Faktor-Authentifizierung. Diese wird bereits bei npm und PyPI durchgesetzt, nicht jedoch in anderen Repositorien wie Maven und NuGet. Governance-Rahmenwerke wie ISO 27001 fördern zwar Disziplin, reichen aber nicht aus, um das Risiko aus Open-Source-Nutzung zuverlässig zu adressieren, da die Durchsetzung uneinheitlich ist und Sicherheitskontrollen mitunter mangelhaft implementiert werden.

Menashe fügte hinzu: „Wirksam ist, Pakete vor ihrem Einzug in eine Organisation zu kuratieren, sie anhand klar definierter Regeln zu prüfen und sowohl direkte als auch transitive Abhängigkeiten im jeweiligen Kontext zu analysieren. Verzögerte Updates helfen ebenfalls: Unsere Forschung zeigt, dass das Warten von mindestens 14 Tagen vor dem Einsatz neuer Paketversionen einen starken Schutz bietet, denn kompromittierte Pakete werden in diesem Zeitraum fast immer entdeckt und entfernt. Solche Angriffe werden weiter stattfinden, doch die richtige Kombination aus Kuratierung, Zero-Trust und Shift-Left-Praktiken kann ihre Auswirkungen deutlich begrenzen.“

Das Gesamtbild

Der Shai-Hulud-Angriff ist kein Einzelfall, sondern Teil eines breiteren Trends. Angreifer nutzen zunehmend die Lücke zwischen der zentralen Bedeutung von Open-Source-Projekten und den begrenzten Ressourcen ihrer Maintainer aus.

Für Organisationen ergibt sich daraus eine eindeutige Lehre: Transparenz, klare Governance und bewusstes Zögern sind unverzichtbare Säulen einer wirksamen Verteidigung der Software-Lieferkette. Open Source bleibt zwar ein entscheidender Motor digitaler Innovation, doch blindes Vertrauen ist nicht mehr tragfähig. Resilienz entsteht nicht durch Popularität, sondern durch vorausschauende Prüfung, kontrollierte Einführung und eine Zero-Trust-Strategie.

Den vollständigen Bericht des JFrog Security Research Teams können Sie hier nachlesen: https://jfrog.com/blog/shai-hulud-npm-supply-chain-attack-new-compromised-packages-detected/

Mehr zum Schmökern

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky