SlowMist warnt: Shai-Hulud 3.0-Lieferkettenangriff ist zurück

Das Cybersicherheitsunternehmen SlowMist hat eine neue Warnung ausgesprochen. Nach der Entdeckung der Rückkehr des Shai-Hulud-Supply-Chain-Angriffs, nun als Version 3.0 eingestuft. Die Warnung stammt von SlowMists Chief Information Security Officer, bekannt als 23pds, der Web3-Teams und Plattformen zu einer sofortigen Stärkung ihrer Abwehrmaßnahmen aufrief. Laut der Mitteilung richtet sich die neueste Variante gegen das NPM-Ökosystem, einen weit verbreiteten Paketmanager in der modernen Softwareentwicklung.

Supply-Chain-Angriffe dieser Art ermöglichen es, schädlichen Code über vertrauenswürdige Open-Source-Bibliotheken zu verbreiten. Oft ohne dass Entwickler dies bemerken. Dadurch können sich selbst kleine Infektionen schnell über zahlreiche Projekte hinweg ausbreiten. SlowMist verwies auf frühere Vorfälle, darunter ein früherer API-Key-Leak im Zusammenhang mit Trust Wallet, der möglicherweise auf eine frühere Shai-Hulud-Version zurückging. Das erneute Auftauchen der Malware schürt die Sorge, dass Angreifer bewährte Methoden weiter verfeinern und erneut einsetzen.

Was Shai-Hulud 3.0 anders macht

Sicherheitsforscher erklären, dass Shai-Hulud 3.0 klare technische Veränderungen gegenüber früheren Versionen zeigt. Analysen unabhängiger Experten zufolge verwendet die Malware nun andere Dateinamen. Zudem wurden die Payload-Strukturen angepasst und die Kompatibilität über verschiedene Betriebssysteme hinweg verbessert. Berichten zufolge entfernt die neue Variante einen früheren „Dead-Man-Switch“, eine Funktion, die die Malware unter bestimmten Bedingungen deaktivieren konnte. Während diese Entfernung einige Risiken mindert, deutet sie zugleich darauf hin, dass die Angreifer die Ausführung vereinfachen, um eine Entdeckung zu vermeiden.

Forscher beobachteten außerdem, dass die Malware offenbar aus dem ursprünglichen Quellcode heraus verschleiert wurde, statt ihn direkt zu kopieren. Dieses Detail spricht für den Zugriff auf frühere Angriffsmaterialien und weist auf einen technisch versierteren Akteur hin. Erste Erkenntnisse deuten bislang auf eine begrenzte Verbreitung hin, was darauf schließen lässt, dass die Angreifer die Payload noch testen.

Forscher untersuchen aktive NPM-Pakete

Der unabhängige Sicherheitsforscher Charlie Eriksen bestätigte, dass sein Team die neue Variante aktiv untersucht. Öffentlichen Angaben zufolge wurde die Malware in einem bestimmten NPM-Paket entdeckt, was eine vertiefte Prüfung der zugehörigen Abhängigkeiten auslöste. Die Analyse zeigt, dass die Malware versucht, Umgebungsvariablen, Cloud-Zugangsdaten und geheime Dateien auszulesen. Diese Daten werden anschließend in von Angreifern kontrollierte Repositories hochgeladen. Die Techniken entsprechen früheren Shai-Hulud-Angriffen, zeigen jedoch eine präzisere Abfolge und verbesserte Fehlerbehandlung. Derzeit gibt es laut Forschern keine Hinweise auf eine großflächige Kompromittierung. Sie warnen jedoch, dass sich Supply-Chain-Angriffe oft rasch ausweiten, sobald die Angreifer die Stabilität bestätigt haben.

Branche zu strengerer Absicherung von Abhängigkeiten aufgerufen

SlowMist rät Projektteams, Abhängigkeiten zu überprüfen, Paketversionen festzuschreiben und ungewöhnliches Netzwerkverhalten zu überwachen. Entwickler sollen zudem Build-Pipelines prüfen und den Zugriff auf sensible Zugangsdaten einschränken. Das Unternehmen betonte, dass Supply-Chain-Bedrohungen weiterhin zu den am meisten unterschätzten Risiken im Web3- und Open-Source-Umfeld zählen. Selbst gut abgesicherte Plattformen können über Drittanbieter-Bibliotheken angreifbar werden. Während die Untersuchungen andauern, empfehlen Sicherheitsexperten Besonnenheit statt Panik. Einig sind sie sich jedoch darin, dass Shai-Hulud 3.0 eine klare Erinnerung daran ist, dass Software-Lieferketten ein besonders attraktives Ziel bleiben.