Shai-Hulud 2.0: Neue npm-Supply-Chain-Attacke legt 25.000+ Repos offen

Ein neuer Ableger der Shai-Hulud-Kampagne trifft aktuell das npm-Ökosystem. Angreifer haben teils stark verbreitete Pakete – unter anderem aus den Ökosystemen von Zapier, ENS Domains, PostHog und Postman – mit trojanisierten Versionen kompromittiert, so berichtet der Security Blog von WIZ. Diese werden zwischen dem 21. und 23. November 2025 auf npm eingestellt und führen beim Installieren im preinstall-Schritt Credential-Stealer-Code aus.

Das Malware-Skript sammelt Secrets aus Entwicklerrechnern und CI/CD-Umgebungen (u. a. GitHub-Tokens, Cloud-Credentials für AWS, GCP und Azure) und exfiltriert sie automatisiert in neu angelegte GitHub-Repositories mit Shai-Hulud-Bezug. Laut Wiz wurden bereits über 25.000 solcher Repos bei rund 500 Accounts beobachtet, mit Hunderten kompromittierten Zugängen – und die Kampagne wächst weiter im Takt von etwa 1.000 neuen Repos pro halber Stunde.

Zusätzlich richtet die Malware einen Backdoor-Workflow ein: Über eine speziell präparierte GitHub-Discussion können Angreifer später Code auf infizierten Self-Hosted-Runnern ausführen. Weitere Payloads zielen auf das Auslesen von Secret Managern, IAM-Rechteausweitung und sogar Docker-Container-Eskapen auf Host-Systeme.

Security-Teams sollten umgehend reagieren: betroffene npm-Pakete auf saubere Versionen oder Stände vor dem 21.11.2025 zurücksetzen, npm-Cache und node_modules leeren, alle relevanten Tokens und Cloud-Zugänge rotieren, GitHub-Org und CI/CD-Pipelines auf verdächtige Repositories, Workflows und Shai-Hulud-Beschreibungen prüfen sowie Lifecycle-Skripte und Netzwerkzugriffe in Build-Umgebungen einschränken.

Related Posts

FortiWeb: Schwachstelle fĂĽr OS-Command-Injection wird aktiv ausgenutzt

Fortinet warnt vor einer OS-Command-Injection-Schwachstelle (CVE-2025-58034) in mehreren FortiWeb-Versionen, die bereits aktiv in freier Wildbahn ausgenutzt wird. Der Fehler ermöglicht authentifizierten Angreifern, über manipulierte HTTP-Requests oder CLI-Befehle beliebigen Code auf dem System auszuführen.

Read More

Neue Angriffswelle auf Cisco-Firewalls – Patch dringend empfohlen

Cisco warnt erneut vor aktiven Angriffen auf Geräte mit Cisco Secure ASA und FTD Software. Nach Angaben des Unternehmens wurde am 5. November 2025 eine neue Angriffsversion entdeckt, die auf die Schwachstellen CVE-2025-20333 und CVE-2025-20362 abzielt. Ungepatchte Firewalls können dadurch unerwartet neu starten und so in einen Denial-of-Service-Zustand geraten.

Read More

Flowise: Kritische Passwort-Zurücksetzen-Lücke ermöglicht vollständige Kontoübernahme

In Flowise wurde eine kritische Schwachstelle (CVE-2025-58434) entdeckt, über die Angreifer ohne Authentifizierung gültige Passwort-Reset-Token für beliebige Nutzer erzeugen können. Ursache ist ein unsicherer forgot-password-Endpoint, der neben Nutzerinformationen auch direkt ein gültiges tempToken zurückliefert – ohne jegliche Verifikation.

Read More