Auf den Punkt: Der geleakte Shai-Hulud-Trojaner wird in unmodifizierten Kopien über npm-Pakete verbreitet und stiehlt Entwickler-Credentials sowie Kryptowallet-Daten, während eines der Pakete zusätzlich DDoS-Botnetz-Funktionalität aufweist.
Der vor einer Woche geleakte Shai-Hulud-Trojaner wird nun in einer neuen Angriffswelle gegen die Node Package Manager (npm)-Registry eingesetzt. Am Wochenende entdeckte das Sicherheitsunternehmen OXsecurity vier manipulierte Pakete mit dem Malware-Code.
Ein Angreifer unter dem Account deadcode09284814 veröffentlichte vier bösartige npm-Pakete, darunter chalk-tempalte, @deadcode09284814/axios-util, axois-utils und color-style-utils. Mehrere dieser Pakete enthalten eine unverschlüsselte Kopie des Shai-Hulud-Trojaners und zielen darauf ab, Entwickler-Credentials, Secrets, Kryptowallet-Daten und Account-Informationen zu stehlen. Die Pakete nutzten Typosquatting-Techniken, um gezielt Axios-Nutzer anzuvisieren.
Das Paket chalk-tempalte enthält einen direkten Klon des Shai-Hulud-Malware-Codes, der der Hacker-Gruppe TeamPCP zugeordnet wird. Laut OXsecurity handelt es sich um eine unmodifizierte Kopie des im GitHub geleakten Quellcodes ohne obfuskationsmethoden – ein Indiz dafür, dass diese Anschläge nicht von TeamPCP selbst stammen, sondern von Nachahmern, die schnell den veröffentlichten Code aufgegriffen haben. Das Malware-Code exfiltriert Daten zu einem Command-and-Control-Server unter 87e0bbc636999b.lhr.life und behält die GitHub-Publikationsfunktionalität bei, um gestohlene Anmeldedaten in automatisch erstellte öffentliche Repositories hochzuladen.
Besonders kritisch ist das Paket axois-utils, das neben den Datendiebstahl-Funktionen auch DDoS-Fähigkeiten bietet – unterstützt werden HTTP-, TCP- und UDP-Floods sowie TCP-Reset-Attacken. Intern werden Verweise auf einen „phantom bot” gefunden.
Die vier Pakete wurden zusammen 2.678-mal heruntergeladen. Entwickler, die diese Pakete installiert haben, sollten sie sofort entfernen und ihre Credentials sowie API-Keys auf betroffenen Systemen rotieren. Die Shai-Hulud-Kampagnen, die seit September 2025 laufen, stehlen systematisch Entwickler-Daten, indem Malware in legitime Projekte injiziert wird. Nach dem Diebstahl von Publishing-Credentials werden diese Informationen in öffentlichen GitHub-Repositories exponiert.
Quelle: ainews-dev.lumi-systems.io · Erschienen 18. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.