Das ist ein besonderes Open-Source-Projekt: Die Drahtzieher der Cybergang TeamPCP haben den Quellcode des npm-Wurms Shai-Hulud auf GitHub veröffentlicht. Im Untergrundforum BreachForums haben sie zudem einen Wettbewerb aufgezogen und andere Kriminelle aufgefordert, mit dem Code loszulegen.
In einem Blog-Beitrag schreiben IT-Forscher von Mondoo, dass nur wenige Tage später die ersten Klone auf npm erschienen sind. Ein Einzeltäter etwa lud gleich vier bösartige Pakete hoch, eine nahezu identische Kopie von Shai-Hulud mit einer eigenen Command-and-Control-Infrastruktur – und drei Tippfehler-Versionen von „Axios“. Sie enthalten Botnet-Schadfunktionen, die infizierte Systeme in ein DDoS-Netzwerk integrieren. Ziel seien Programmierer mit dicken Fingern, erklären die IT-Forscher. Die Anzahl wöchentlicher Downloads liegt derzeit bei rund 2600, was für npm-Pakete tatsächlich wenig ist. Einige weitere Kopien listet OXsecurity auf. Eine Schwemme an npm-Wurm-Paketen steht zu erwarten, da nun viele Interessierte auf dem Quellcode aufbauen können.
Aktueller Shai-Hulud-Supply-Chain-Angriff
Dazu passt auch, dass Microsofts Threat Intelligence eine aufkommende Mini-Shai-Hulud-Lieferkettenattacke untersucht, wie die Gruppe auf Bluesky erklärt. Die Angreifer haben es auf „antv“ abgesehen – sie konnten ein Konto eines Projekt-Maintainers kompromittieren und haben infizierte Versionen von weit verbreitet eingesetzten Paketen veröffentlicht, etwa „antv/g2“. Diese Pakete kommen als Abhängigkeit weitläufig zum Einsatz. Die kompromittierten Pakete propagierten sich in Bibliotheken wie „echarts-for-react“, wodurch ein großer Bereich von Apps und Build-Systemen betroffen sind.
