Vom 21. bis 24. November 2025 hat eine massive zweite Welle des Sha1-Hulud-Supply-Chain-Angriffs über 600 npm-Pakete kompromittiert, die großen Organisationen gehören, darunter Zapier, ENS Domains, PostHog, AsyncAPI und Postman. Der Angriff betraf über 25.000 Repositories, mit einem Durchschnitt von etwa 1.000 neu kompromittierten Repositories alle 30 Minuten auf dem Höhepunkt. Diese Pakete verzeichnen insgesamt 132 Millionen monatliche Downloads, was zu einer extrem weitreichenden Exposition im JavaScript-Ökosystem führt.
| Datum | 26.11.2025 17:26:49 |
Technische Zusammenfassung
Der Angriff stellt eine signifikante Weiterentwicklung gegenüber der Shai-Hulud-Kampagne vom September 2025 dar und führt mehrere neue gefährliche Funktionen ein. Die Angreifer kompromittierten Maintainer-Konten, um trojanisierte Versionen zu veröffentlichen, die während der Pre-Installationsphase ausgeführt werden. Dies stellt die Ausführung auf Build-Servern sicher und umgeht statische Analysetools.
Die Schadsoftware verwendet einen zweistufigen Ansatz:
- Während der Pre-Installationsphase installiert oder lokalisiert
setup_bun.jsdie Bun-Laufzeitumgebung. bun_environment.jsführt anschließend die eigentliche Schadnutzlast aus.
Wichtigste schädliche Funktionen:
- Automatischer Diebstahl von Anmeldedaten unter Verwendung von TruffleHog zum Scannen von npm-Token, Cloud-Anmeldedaten und Umgebungsvariablen.
- Automatische Registrierung von GitHub-Self-Hosted-Runnern mit schädlichen Workflows zur Befehlsausführung.
- Cross-Exfiltration zwischen Opfern, bei der die Geheimnisse eines Opfers an das Repository eines anderen gesendet werden.
- Selbstregenerationsmechanismus durch GitHub-Suche, um Repositories wiederherzustellen, falls sie gelöscht wurden.
- Automatische Verbreitung, die bis zu 100 Pakete pro kompromittiertem Token infiziert.
Destruktive Löschfunktion, die das gesamte Home-Verzeichnis des Benutzers löscht, falls die Exfiltration fehlschlägt.- Privilegieneskalation unter Linux mittels Docker, um Root-Zugriff zu erlangen.
Kompromittierte Pakete und zugehörige Versionen: Die folgenden Pakete (insgesamt 492) wurden in dieser Welle als kompromittiert bestätigt. Zu den wichtigsten betroffenen Paketen gehören:
| Organisation | Wichtigste kompromittierte Pakete |
|---|---|
| AsyncAPI | @asyncapi/cli, @asyncapi/generator, @asyncapi/parser |
| PostHog | posthog-node, posthog-js, @posthog/cli |
| Postman | @postman/secret-scanner-wasm, @postman/csv-parse |
| ENS Domains | @ensdomains/ensjs, @ensdomains/ui, @ensdomains/thorin |
| Zapier | @zapier/zapier-sdk, zapier-platform-core, zapier-platform-cli |
[Die vollständige Liste der 492 Pakete]
@asyncapi/diff
@asyncapi/nodejs-ws-template
go-template
… (vollständige Liste aus Platzgründen gekürzt)
Empfehlungen
Sofortige Eindämmung: Scannen Sie alle Projekte nach den oben aufgeführten Paketen und entfernen Sie die kompromittierten Versionen sofort. Bereinigen Sie npm/yarn/pnpm-Caches und überprüfen Sie die package-lock-Dateien erneut.
Rotation der Anmeldedaten: Gehen Sie davon aus, dass alle Anmeldedaten kompromittiert sind. Rotieren Sie sofort:
- NPM-Token (insbesondere vor der für den 9. Dezember geplanten Sperrung klassischer npm-Token)
- Anmeldedaten für Cloud-Provider (AWS, GCP, Azure)
- GitHub-Personal-Access-Token und OAuth-Token
- Alle anderen Geheimnisse, die in Entwicklungsumgebungen gespeichert sind
- Audit der Repositories: Überprüfen Sie alle GitHub-Repositories auf:
- Unerwartete öffentliche Repositories mit zufälligen 18-stelligen Namen
- Verdächtige Workflow-Dateien in .github/workflows/
- Unerwartete Self-Hosted-Runner mit dem Namen “SHA1HULUD”
- Repository-Beschreibungen, die “Sha1-Hulud: The Second Coming” enthalten
- Stärkung der Lieferkette:
- Erzwingen Sie striktes Pinning von Abhängigkeiten und die Verwendung von Lock-Dateien
- Implementieren Sie automatisierte Scans von Abhängigkeiten mit Benachrichtigungen
- Migrieren Sie vor der Frist am 9. Dezember auf “Trusted Publishing” bei npm
- Aktivieren Sie 2FA mit Hardware-Schlüsseln für alle Maintainer-Konten
- Reaktion auf Vorfälle: Gehen Sie bei jedem System, das diese Pakete ausgeführt hat, von einer Kompromittierung aus. Führen Sie eine vollständige forensische Analyse der Build-Systeme und der potenziell betroffenen Entwickler-Workstations durch.
[Callforaction-THREAT-Footer]
Leave a Reply