Die Malware-Kampagne "Shai-Hulud" hat über 300 Pakete in den größten Softwarearchiven kompromittiert und zielt auf Entwickler-Tools ab. Große Unternehmen wie OpenAI, Microsoft und Mistral AI waren bereits betroffen und warnen vor massiven Risiken in der automatisierten Softwareentwicklung.
Die Shai-Hulud-Malware breitet sich über populäre Paketarchive aus und gefährdet damit eine der fundamentalen Säulen der modernen Softwareentwicklung. Bislang wurden etwa 320 manipulierte Pakete in NPM (Node Package Manager) und PyPI (Python Package Index) identifiziert, die zusammen monatlich über 518 Millionen Mal heruntergeladen werden. Die Malware nutzt GitHub Actions und vertrauenswürdige Publishing-Workflows aus, um unbemerkt in Entwicklungs-Pipelines einzudringen.
Das Besondere an dieser Bedrohung ist ihre Propagationskraft: Wenn ein beliebiger Open-Source-Paket kompromittiert wird, erhält der Angreifer Zugang zu allen nachgelagerten Projekten, die dieses Paket verwenden. Dies schafft eine Kettenreaktion, bei der Cyberkriminelle tokens stehlen, weitere manipulierte Pakete verteilen und den Zyklus wiederholen können. Sicherheitsexperten warnen davor, dass menschliche Kontrolle und automatisierte Systeme in der Softwareentwicklung zunehmend auseinanderdriften.
Microsoft, OpenAI und Mistral AI haben kürzlich Vorfälle mit Shai-Hulud-Malware bestätigt. Die Angreifer versuchten dabei, Schadsoftware als legitime Bibliotheken zu tarnen, um sie in Machine-Learning-Umgebungen einzuschleusen. Obwohl die betroffenen Unternehmen keinen Zugriff auf produktive Systeme oder Kundendaten festgestellt haben, unterstreicht die Häufung dieser Angriffe die Dringlichkeit besserer Schutzmaßnahmen in der Software-Supply-Chain.