NEUESTE NACHRICHTEN
  • Warum hat Elon Musk Goldman Sachs als seinen führenden Investor beim Börsengang von SpaceX im nächsten Monat ausgewählt?
    Vor 32 Minuten Geschäft
  • Tokenisierte reale Vermögenswerte steigen auf 65 Milliarden Dollar, da Institutionen ihre Blockchain-Investitionen verstärken
    vor 1 Stunde Nachrichten
  • Hongkong zieht ausländische Börsengänge von außerhalb Chinas an, während Blockdaemon den Weg zur Krypto-Börsennotierung testet
    Vor 2 Stunden Geschäft
  • WhiteBIT stellt vor Roland-Garros das Kartendesign von Svitolina Nova vor
    vor 2 Stunden) Brancheneindrücke (
FÜR SIE AUSGEWÄHLT
  • Warum hat Elon Musk Goldman Sachs als seinen führenden Investor beim Börsengang von SpaceX im nächsten Monat ausgewählt?
    Vor 32 Minuten Geschäft
  • Tokenisierte reale Vermögenswerte steigen auf 65 Milliarden Dollar, da Institutionen ihre Blockchain-Investitionen verstärken
    vor 1 Stunde Nachrichten
  • Hongkong zieht ausländische Börsengänge von außerhalb Chinas an, während Blockdaemon den Weg zur Krypto-Börsennotierung testet
    Vor 2 Stunden Geschäft
WÖCHENTLICH
BLEIBEN SIE AN DER SPITZE

Die besten Krypto-Einblicke direkt in Ihren Posteingang.

Der Mini-Shai-Hulud-Wurm hat über einen einzigen gestohlenen Account innerhalb von 30 Minuten 323 npm-Pakete entführt

VonMicah AbiodunMicah Abiodun
2 Minuten gelesen ( vor 2 Minuten)
  • Der Wurm Mini Shai-Hulud kompromittierte am 19. Mai über den gekaperten Account „atool“ 323 npm-Pakete und veröffentlichte 639 bösartige Versionen.
  • Zu den betroffenen Paketen gehören echarts-for-react (1,1 Mio. wöchentliche Downloads), size-sensor (4,2 Mio.) und das gesamte @antv-Datenvisualisierungsökosystem von Alibaba.
  • Die umfassendere Kampagne hat mittlerweile 1.055 Versionen in 502 Paketen erreicht, die sich über die Registries npm, PyPI und Composer erstrecken.

Am 19. Mai kompromittierte der Mini Shai-Hulud-Wurm ein npm-Maintainer-Konto und verbreitete in weniger als 30 Minuten 639 bösartige Versionen in 323 Paketen.

Das kompromittierte Konto „atool“ ([email protected]) veröffentlicht Alibabas gesamten @antv-Datenvisualisierungs-Stack sowie eigenständige Bibliotheken, die in Krypto-Dashboards, DeFi Frontends und Fintech-Anwendungen verwendet werden.

Die meistbesuchten Ziele: size-sensor mit 4,2 Millionen wöchentlichen Downloads, echarts-for-react mit 1,1 Millionen, @antv/scale mit 2,2 Millionen und timeago.js mit 1,15 Millionen.

Projekte, die Semver-Bereiche wie ^3.0.6 für echarts-for-react verwenden, wurden bei der nächsten Neuinstallation automatisch auf die schädliche Version 3.2.7 aufgelöst. Der Maintainer schloss die Sicherheitswarnungen auf GitHub innerhalb einer Stunde und ließ sie in den geschlossenen Issues verschwinden.

Was die Nutzlast stiehlt und wie sie erhalten bleibt

Laut Socket.dev sammelt die Malware mehr als 20 Artendent: AWS-Schlüssel über EC2- und ECS-Metadaten, Google Cloud- und Azure-Token, GitHub- und npm-Token, SSH-Schlüssel, Kubernetes-Dienstkonten, HashiCorp Vault-Geheimnisse, Stripe-API-Schlüssel, Datenbankverbindungszeichenfolgen und lokale Passwort-Tresore von 1Password und Bitwarden.

Die Datenexfiltration erfolgt über zwei Kanäle. Gestohlenedentwerden mit AES-256-GCM verschlüsselt und an einen Command-and-Control-Server gesendet.

Als Ausweichlösung nutzt der Wurm kompromittierte GitHub-Tokens, um öffentliche Repositories mit Dune-inspirierten Namen wie sardaukar-melange-742 oder fremen-sandworm-315 zu erstellen und die gestohlenen Daten anschließend als Dateien einzuchecken. StepSecurity berichtete, dass bereits über 2.500 GitHub-Repositories Hinweise auf die Kampagne enthalten.

Zusätzlich verschlüsselt der Wurm die gestohlenen Daten in OpenTelemetry tracDaten, die über HTTPS übertragen werden. Auf Linux-basierten Systemen richtet er einen systemd-Benutzerdienst ein, der auch nach der Entfernung des Pakets noch Anweisungen von GitHub abrufen kann.

Der Wurm verändert die Konfigurationsdateien .vscode und .claude, um die Reaktivierung in Entwicklungsumgebungen zu gewährleisten.

Die Kampagne wächst weiter

Dies ist die dritte Welle. Wie Cryptopolitan berichtete , befiel die ursprüngliche Shai-Hulud-Variante die npm-Pakete von Trust Wallet und verursachte Verluste in Höhe von 8,5 Millionen US-Dollar. Die zweite Welle traf Mistral AI, TanStack, UiPath und Guardrails AI am 11. Mai.

Socket konnte insgesamt 1.055 kompromittierte Versionen in 502 verschiedenen Paketen über npm, PyPI und Composerdent.

Die für die Kampagne verantwortliche Bedrohungsgruppe TeamPCP hat laut Forschern von Datadog ihre Tools in Untergrund-Hackerforen beworben. Es sind Nachahmerversionen aufgetaucht, die unterschiedliche Command-and-Control-Server verwenden, was die Zuordnung erschwert.

Der CEO von SlowMist, 23pds, sagte, dass jede Umgebung, in der betroffene Versionen installiert wurden, als vollständig kompromittiert betrachtet werden sollte.

Zu den empfohlenen Maßnahmen gehören das Widerrufen aller Zugriffstoken, das Rotieren derdentfür AWS, GitHub, npm und Cloud-Anbieter, die Implementierung einer Multi-Faktor-Authentifizierung für die Kontoveröffentlichung und die Überprüfung verdächtiger Aktivitäten in den Repositories.

Die klügsten Köpfe der Krypto-Szene lesen bereits unseren Newsletter. Möchten Sie auch dabei sein? Dann schließen Sie sich ihnen an.

Häufig gestellte Fragen

Was ist Mini Shai-Hulud?

Mini Shai-Hulud ist eine sich selbst replizierende Malware-Kampagne, die einer finanziell motivierten Gruppe namens TeamPCP zugeschrieben wird und sich über kompromittierte npm-Pakete verbreitet,dentstiehlt und diese verwendet, um weitere manipulierte Paketversionen unter legitimen Maintainer-dentzu veröffentlichen.

Welche npm-Pakete waren betroffen?

Die Angriffswelle vom 19. Mai betraf 323 Pakete und 639 Versionen, die mit dem npm-Konto "atool" verknüpft sind, darunter echarts-for-react (rund 1,1 Millionen wöchentliche Downloads), Alibabas @antv Datenvisualisierungssuite, timeago.js und size-sensor, wie SafeDep und Socket Research berichten.

Was sollten Entwickler tun, wenn sie ein betroffenes Paket installiert haben?

Sicherheitsforscher empfehlen, die Maschine oder den CI-Runner als vollständig kompromittiert zu betrachten: Alledent(AWS, GitHub, npm, SSH, Datenbank) sollten rotiert, die Zwei-Faktor-Authentifizierung aktiviert, GitHub auf nicht autorisierte Repositories überprüft werden, die dem Namensmuster der Kampagne entsprechen, und persistente Backdoors aus Konfigurationsdateien der Entwicklertools wie `.vscode/tasks.json` und `.claude/settings.json` entfernt werden.

Diesen Artikel teilen

Haftungsausschluss. Die bereitgestellten Informationen stellen keine Anlageberatung dar. Cryptopolitan/ übernimmt keine Haftung für Investitionen, die auf Grundlage der Informationen auf dieser Seite getätigt werden. Wirtronempfehlen dringend, vor jeder Anlageentscheidung eigene Recherchen durchzuführendent oder einen qualifizierten Fachmann zu konsultieren
Micah Abiodun

Micah Abiodun

Micah Abiodun nutzt sein Masterstudium in Umwelttechnik und -management an der Technischen Universität Tallinn (TalTech) optimal, um die Inhalte und Preisprognosen für Cryptopolitanzu verbessern. Seit sieben Jahren ist er in der Krypto-Medienbranche tätig und berichtet über die wichtigsten Kryptowährungen, Altcoins, DeFi, Stablecoins, Makrotrends und neue Technologien

INHALTSVERZEICHNIS
1. Was die Nutzlast stiehlt und wie sie erhalten bleibt
2. Die Kampagne wächst weiter
Diesen Artikel teilen
MEHR … NACHRICHTEN
ALLE ANZEIGEN
Chat GPT

5 geniale Anwendungsmöglichkeiten von ChatGPT und was Sie damit anfangen sollten
vor 3 Jahren Tech John Palmer
KI-gestützte Lösungen

93 % der Unternehmensführer bevorzugen KI-gestützte Lösungen für das Nachhaltigkeitsmanagement von Marken, Reuters
vor 3 Jahren Tech John Palmer
Frankreichs KI-Ökosystem

So unterstützt Macron Frankreichs dynamisches und produktives KI-Ökosystem
vor 3 Jahren Tech Glory Kaburu
generative KI

Bloomberg schätzt, dass der Markt für generative KI bis 2032 ein Volumen von 1,3 Billionen US-Dollar erreichen wird
vor 3 Jahren Tech Aamir Sheikh
  • Was ist Base? Das Ethereum Layer-2-Netzwerk, das von Coinbase ins Leben gerufen wurde.
    Was ist Base? Das von Coinbase ins Leben gerufene Ethereum Layer-2-Netzwerk
    21. Oktober 2025 Krypto lernen: Leitfaden für Anfänger
  • Dogecoin vs. Bitcoin: Wichtigste technische Unterschiede
    Dogecoin vs. Bitcoin: Wichtigste technische Unterschiede
    20. Oktober 2025 Krypto lernen: Leitfaden für Anfänger
  • Was ist TVL (Total Value Locked) bei Kryptowährungen?
    Was ist TVL (Total Value Locked) bei Kryptowährungen?
    14. Oktober 2025 Krypto lernen: Leitfaden für Anfänger
  • Wie liest man ein Krypto-Whitepaper?
    Wie liest man ein Krypto-Whitepaper?
    13. Oktober 2025 Krypto lernen: Leitfaden für Anfänger
  • Ripple vs. XRP vs. XRP Ledger: Was ist der Unterschied?
    Ripple vs. XRP vs. XRP Ledger: Was ist der Unterschied?
    13. Oktober 2025 Krypto lernen: Leitfaden für Anfänger
  • Was ist eine Multisig-Wallet im Kryptobereich?
    Was ist eine Multisig-Wallet im Kryptobereich?
    10. Oktober 2025 Krypto lernen: Leitfaden für Anfänger
DEEP CRYPTO
CRASH-KURS
  • Mit welchen Kryptowährungen kann man Geld verdienen?
  • Wie Sie Ihre Sicherheit mit einer digitalen Geldbörse erhöhen können (und welche sich tatsächlich lohnen)
  • Wenig bekannte Anlagestrategien, die Profis anwenden
  • Wie man mit dem Investieren in Kryptowährungen beginnt (welche Börsen man nutzen sollte, welche Kryptowährung am besten zum Kauf geeignet ist usw.)