VU#534320: NPM-Lieferkettenkom... Notiz

VU#534320: NPM-Lieferkettenkompromittierung offenbart Herausforderungen bei der Sicherung des Ökosystems vor Diebstahl von Anmeldeinformationen und Selbstverbreitung

Ein bedeutender Angriff auf die npm-Lieferkette, Spitzname Shai-Hulud, wurde im September 2025 bekannt. Über 500 npm-Pakete sind von dieser sich selbst verbreitenden Malware betroffen. Der Angriff nutzt diebstahl von Anmeldeinformationen und automatisierte Paketveröffentlichung zur Verbreitung. Er nutzt bekannte Schwachstellen wie Postinstall-Skripte und Kompromittierungen von CI/CD-Plattformen aus.Die Malware begann wahrscheinlich mit der Ausführung einer bösartigen bundle.js-Datei über ein Postinstall-Skript nach der Paketinstallation. Dieses Skript scannte dann nach und sammelte Geheimnisse mit Tools wie TruffleHog. Gestohlene Anmeldeinformationen wurden verwendet, um die Malware in anderen Repositories zu veröffentlichen, wodurch kompromittierte Systeme zu neuen Infektionsvektoren wurden. GitHub Actions wurde besonders für die automatisierte Trojanisierung missbraucht, eine Taktik, die bereits zuvor beobachtet wurde.Die Auswirkungen umfassen über 500 kompromittierte Pakete und die potenzielle Kompromittierung des npm-Kontos von CrowdStrike. GitHub und CISA haben Ratschläge zu diesem Vorfall veröffentlicht. Zur Abmilderung sollten npm-Benutzer kompromittierte Pakete prüfen und ersetzen, Abhängigkeiten mit package-lock.json sperren und interne Spiegel in Betracht ziehen. Das Deaktivieren von Postinstall-Skripten, wo immer möglich, wird ebenfalls empfohlen. Entwickler sollten exponierte Anmeldeinformationen rotieren und Prinzipien der geringsten Rechte in CI/CD-Umgebungen durchsetzen.