Neue Entwicklungen bei den Mini Shai-Hulud-Angriffen auf Open-Source-Pakete

Umfassende Analyse: Die "Mini Shai-Hulud"-Angriffe auf Open-Source-Register

Die digitale Landschaft sah sich kürzlich mit einer neuen Welle von Lieferkettenangriffen konfrontiert, die unter dem Namen „Mini Shai-Hulud“ bekannt sind. Diese hochentwickelten Attacken zielen auf Open-Source-Register ab und haben insbesondere npm-Pakete von SAP sowie weitere Entwicklerwerkzeuge und Bibliotheken kompromittiert. Als Senior Specialist Journalist und Analyst für Mindverse ist es unsere Aufgabe, diese komplexen Ereignisse präzise zu beleuchten und für unsere B2B-Zielgruppe aufzubereiten.

Der Modus Operandi der Angreifer

Die „Mini Shai-Hulud“-Kampagne ist eine Weiterentwicklung früherer „Shai-Hulud“-Wellen und zeichnet sich durch spezifische technische Merkmale aus. Im Kern nutzen die Angreifer manipulierte Versionen legitimer Pakete, um eine Schadsoftware einzuschleusen. Im Falle der SAP-Ökosysteme betraf dies vier Schlüsselpakete: mbt@1.2.48, @cap-js/db-service@2.10.1, @cap-js/postgres@2.2.2 und @cap-js/sqlite@2.2.2. Diese Pakete sind integraler Bestandteil des SAP Cloud Application Programming Model (CAP) und des Cloud MTA Build Tools, die von Entwicklern zur Erstellung von Cloud-Anwendungen genutzt werden.

Der Angriff beginnt mit einer Veränderung der package.json-Datei, die ein preinstall-Skript enthält. Dieses Skript lädt die Bun JavaScript-Laufzeitumgebung von GitHub Releases herunter. Bun wird dann verwendet, um eine stark verschleierte Schadsoftware namens execution.js auszuführen. Die Wahl von Bun ist dabei strategisch, da es Node.js-basierte Überwachungssysteme umgehen kann, die standardmäßig auf Node.js-Ausführungen ausgerichtet sind.

Ziel der Attacken: Anmeldeinformationen und Persistenz

Die Hauptfunktion der Schadsoftware ist das Stehlen von Anmeldeinformationen. Sie durchsucht Entwickler-Workstations und CI/CD-Pipelines nach einer Vielzahl sensibler Daten. Dazu gehören:

• GitHub Personal Access Tokens (PATs) und OAuth-Berechtigungen
• npm-Tokens
• Cloud-Anmeldeinformationen für AWS, Azure und GCP, einschließlich Metadaten von Cloud-Instanzen
• Kubernetes-Konfigurationen und Service-Account-Token
• SSH-Schlüssel
• Tokens und Konfigurationsdateien von KI-Codierungswerkzeugen wie Claude und VS Code

Eine bemerkenswerte Neuerung in dieser Kampagne ist die gezielte Etablierung von Persistenz durch die Manipulation von Konfigurationsdateien von KI-Codierungswerkzeugen. Die Angreifer injizieren beispielsweise Hooks in .claude/settings.json (SessionStart) und .vscode/tasks.json (folderOpen), um die Schadsoftware bei bestimmten Entwickleraktionen erneut auszuführen. Dies geschieht oft unter einer gefälschten Identität wie claude@users.noreply.github.com mit Commit-Nachrichten wie „chore: update dependencies“, um unauffällig zu bleiben.

Die gestohlenen Daten werden komprimiert, mit AES-256-GCM verschlüsselt und der AES-Schlüssel mittels RSA-OAEP-SHA256 gegen einen eingebetteten RSA-4096-Public-Key geschützt. Die verschlüsselten Informationen werden anschließend in öffentlichen GitHub-Repositories abgelegt, die unter dem Konto des Opfers erstellt werden und die Beschreibung „A Mini Shai-Hulud has Appeared“ tragen. Dies macht die Identifizierung kompromittierter Repositories einfacher, erschwert aber die Entschlüsselung der Daten ohne den privaten Schlüssel der Angreifer.

Umfang und Auswirkungen

Die betroffenen SAP-Pakete verzeichnen zusammen wöchentlich etwa 572.000 Downloads. Innerhalb weniger Stunden nach der Veröffentlichung der manipulierten Pakete wurden über 1.197 Repositories auf GitHub mit der charakteristischen Beschreibung „A Mini Shai-Hulud has Appeared“ identifiziert. Diese Repositories wurden unter den Konten kompromittierter Entwickler erstellt, was auf eine weitreichende Kontamination hindeutet.

Die „Mini Shai-Hulud“-Angriffe sind Teil einer größeren Serie von Supply-Chain-Attacken, die sich seit September 2025 ereignen. Frühere Wellen, wie „Shai-Hulud 1.0“ und „Shai-Hulud 2.0“, zeigten bereits die Fähigkeit zur Selbstverbreitung, indem sie gestohlene npm-Tokens nutzten, um weitere Pakete des Maintainers zu infizieren. Die aktuelle Variante setzt diese Taktik fort und nutzt direkte HTTP PUT-Anfragen an das npm-Register, um die npm-CLI und deren Telemetrie zu umgehen.

Die Angriffe sind nicht auf SAP-Pakete beschränkt. Berichte deuten darauf hin, dass auch populäre PyPI-Pakete wie PyTorch Lightning und das Intercom-Client-Paket auf npm betroffen waren, wobei die Angreifer die Payload an verschiedene Ökosysteme wie PHP’s Packagist, Ruby Gems und Go-Module anpassten. Dies unterstreicht die Polyglot-Natur der Bedrohung, bei der ein kompromittiertes Modul in einer Sprache zu einer lateralen Bewegung in andere Bereiche der Softwareentwicklung führen kann.

Reaktion und Abhilfemaßnahmen

SAP reagierte schnell auf den Vorfall und veröffentlichte bereinigte Versionen der meisten betroffenen Pakete. Für mbt@1.2.48 existiert derzeit keine bereinigte Nachfolgeversion; hier wird die Nutzung der Vorgängerversion 1.2.47 empfohlen. Das npm-Konto cloudmtabot, das die vier schädlichen Versionen veröffentlichte, wurde suspendiert.

Unternehmen, die von diesen Angriffen betroffen sein könnten, sollten umgehend Maßnahmen ergreifen:

1. Betroffene Versionen identifizieren: Durchsuchen Sie alle Lockfiles, Container-Images, Build-Caches und Artefakt-Repositories nach den kompromittierten Versionen.
2. Anmeldeinformationen rotieren: Betrachten Sie alle Anmeldeinformationen, die von einem kompromittierten Host aus erreichbar waren, als gefährdet. Rotieren Sie umgehend npm-Tokens, GitHub PATs, AWS/Azure/GCP-Anmeldeinformationen, Kubernetes-Kubeconfigs, SSH-Schlüssel und alle Tokens von KI-Werkzeugen.
3. Systeme isolieren und bereinigen: Betroffene Systeme sollten isoliert und gegebenenfalls neu aufgesetzt werden, da die Schadsoftware Persistenz in IDE-Konfigurationen hinterlassen kann.
4. Indikatoren für Kompromittierung (IoCs) prüfen: Suchen Sie nach GitHub-Repositories mit der Beschreibung „A Mini Shai-Hulud has Appeared“, Commits mit der Zeichenfolge „OhNoWhatsGoingOnWithGitHub“, Commits des Autors claude@users.noreply.github.com oder mit der Nachricht „chore: update dependencies“ sowie unerwarteten Änderungen an .claude/settings.json oder .vscode/tasks.json.
5. CI/CD-Pipelines härten: Blockieren Sie ausgehenden Traffic von CI-Runnern zu api.github.com/user/repos POST und api.github.com/search/commits-Abfragen, es sei denn, dies ist explizit erforderlich. Erwägen Sie die Standardeinstellung npm install --ignore-scripts und erlauben Sie Lebenszyklus-Skripte nur für Pakete, die diese wirklich benötigen.
6. Open-Source-Governance stärken: Implementieren Sie eine strenge Governance für die Beschaffung externen Codes. Blockieren Sie den direkten Internetzugang zu öffentlichen Paket-Registries von Produktionsumgebungen aus und leiten Sie alle Software-Downloads über ein internes, streng überwachtes Repository.
7. OIDC Trusted Publishing überprüfen: Auditieren Sie alle npm Trusted Publishing-Konfigurationen, um sicherzustellen, dass die Vertrauensbindung auf Workflow-Ebene und durch Branch-Schutz erfolgt.

Langfristige Perspektiven und die Rolle der KI

Der „Mini Shai-Hulud“-Vorfall unterstreicht einmal mehr die strukturellen Schwachstellen im traditionellen CVE-basierten Schwachstellenmanagement. Trotz der weitreichenden Auswirkungen und Tausender kompromittierter Repositories wurden zum Zeitpunkt der Berichterstattung keine CVE-, GHSA- oder OSV-Einträge zugewiesen. Dies bedeutet, dass Unternehmen, die sich ausschließlich auf solche Einträge verlassen, diese Bedrohung vollständig übersehen hätten.

Die zunehmende Nutzung von generativen KI-Codierungswerkzeugen beschleunigt die Entwicklung, erschwert aber gleichzeitig die Überprüfung des Codes und die Identifizierung bösartiger Abhängigkeiten in komplexen Ketten. Die Angreifer nutzen diese Entwicklung, indem sie gezielt KI-Agenten und deren Konfigurationen ins Visier nehmen. Dies erfordert eine Neuausrichtung der Sicherheitsstrategien, bei der Konfigurationsdateien von KI-Codierungswerkzeugen mit der gleichen Sorgfalt wie kritische Workflow-Dateien behandelt werden müssen.

Für Unternehmen, die ihre digitale Souveränität wahren und sich vor solchen Angriffen schützen möchten, ist ein umfassendes Application Security Posture Management (ASPM) unerlässlich. Es ermöglicht die Identifizierung von Schwachstellen und Fehlkonfigurationen in Echtzeit, die Erkennung von bösartigem Code und die Implementierung präventiver Maßnahmen über den gesamten Softwareentwicklungszyklus hinweg. Die Fähigkeit, die tatsächliche Ausführung von Paketen zu überwachen und nicht nur deklarierte Abhängigkeitszustände, wird dabei immer entscheidender.

Die „Mini Shai-Hulud“-Kampagne ist ein klares Signal: Die Angriffsfläche von Softwaresystemen, insbesondere im SAP-Kontext, ist nicht länger auf traditionelle Komponenten beschränkt. Moderne Entwicklungs-Frameworks und die sie umgebenden Paket-Ökosysteme sind zu kritischen Zielen geworden, bei denen eine einzige manipulierte Installation weitreichende Folgen für die gesamte Produktionslandschaft haben kann.

---

Bibliographie

- Francesco Cipollone. „Mini Shai-Hulud: SAP CAP npm Worm with Bun + Claude Code Persistence.“ Phoenix Security, 30. April 2026. - Jessica Lyon. „Ongoing supply chain attacks worm into SAP npm packages • The Register.“ The Register, 30. April 2026. - Ryan Daws. „Open-source registries hit by 'Mini Shai-Hulud' supply chain attacks.“ Developer-Tech, 1. Mai 2026. - „Mini Shai-Hulud: npm Supply Chain reaches into SAP security!“ SecurityBridge, 30. April 2026. - „'Mini Shai-Hulud' supply chain attack targets SAP npm packages.“ Sophos, 29. April 2026. - Moshe Siman Tov Bustan. „Shai-Hulud SAP Attack: Stolen Credentials in 1,200 Repos.“ OX Security, 29. April 2026. - „Mini Shai-Hulud Targets SAP npm Packages With a Bun-Based Secret Stealer.“ Aikido Security, 29. April 2026. - Justin Moore. „"Shai-Hulud" Worm Compromises npm Ecosystem in Supply Chain Attack (Updated November 26).“ Palo Alto Networks Unit 42, 25. November 2025. - Guy Korolevski, Andrii Polkovnychenko, Shavit Satou. „Shai-Hulud, The Second Coming - Ongoing npm supply chain attack.“ JFrog Security Research, 24. November 2025. - „Multiple Supply Chain Attacks against npm Packages.“ Red Hat Customer Portal.