Mini Shai‑Hulud: Wie ein kompromittiertes npm‑Konto Hunderte Open‑Source‑Pakete infizierte
Angreifer kompromittierten ein npm‑Maintainerkonto und veröffentlichten in rund 20 Minuten mehr als 630 manipulierte Versionen von 317 Open‑Source‑Paketen. Die Malware wird beim Installieren von Abhängigkeiten ausgeführt, durchsucht Systeme nach Tokens, Cloud‑Credentials und Passwort‑Manager‑Daten und versucht sich...
How are hackers carrying out the ongoing “Mini Shai‑Hulud” supply‑chain attacks on open‑source software packages, what happened in the recenThe Mini Shai‑Hulud campaign spread by compromising trusted open‑source packages and harvesting developer credentials.
KI-Prompt
Create a landscape editorial hero image for this Studio Global article: How are hackers carrying out the ongoing “Mini Shai‑Hulud” supply‑chain attacks on open‑source software packages, what happened in the recen. Article summary: Hackers are using compromised maintainer accounts and automated package-publishing to turn trusted open-source packages into credential-stealing malware delivery channels. The latest Mini Shai-Hulud wave hijacked an npm . Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "HN Mini Shai-Hulud Strikes Again: 314 npm Packages Compromised. On May 19, 2026, a sophisticated supply chain attack dubbed “Mini Shai-Hulud” was executed" source context "Scraper Spider" Reference image 2: visual subject "HN Mini Shai-Hulud Strikes Again: 314 npm Packages Compromised. On May 19, 2026, a sophisticated supply cha
openai.com
Open‑Source‑Ökosysteme wie npm (Node Package Manager) oder PyPI leben von Vertrauen: Entwickler installieren täglich Pakete, die von anderen Maintainer:innen gepflegt werden. Genau dieses Vertrauensmodell nutzen moderne Supply‑Chain‑Angriffe aus.
Die Kampagne Mini Shai‑Hulud zeigt besonders deutlich, wie schnell sich ein solcher Angriff ausbreiten kann. Statt eigene schädliche Pakete hochzuladen, kompromittieren Angreifer Maintainer‑Konten – und verwandeln legitime Bibliotheken in Malware‑Verteiler.
Die Grundidee: vertrauenswürdige Maintainer kompromittieren
Der Angriff zielt nicht auf Endnutzer direkt, sondern auf Entwicklerkonten mit Publish‑Rechten im npm‑Registry. Sobald ein solcher Account übernommen wird, können Angreifer manipulierte Versionen bereits etablierter Pakete veröffentlichen.
Viele Projekte erlauben automatische Updates innerhalb bestimmter Versionsbereiche. Dadurch können manipulierte Updates bei einem normalen
npm install
oder während CI‑Builds automatisch installiert werden – ohne dass Entwickler aktiv ein neues Paket auswählen müssen.
Der Vorfall vom 19. Mai: Hunderte Pakete in Minuten manipuliert
Am 19. Mai 2026 meldeten Sicherheitsforscher einen massiven Vorfall: Das npm‑Konto atool wurde übernommen. Innerhalb von etwa 22 Minuten veröffentlichten Angreifer automatisiert 637 manipulierte Versionen über 317 Pakete.
Zu den betroffenen Bibliotheken gehörten unter anderem:
size-sensor
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Wie lautet die kurze Antwort auf „Mini Shai‑Hulud: Wie ein kompromittiertes npm‑Konto Hunderte Open‑Source‑Pakete infizierte“?
Angreifer kompromittierten ein npm‑Maintainerkonto und veröffentlichten in rund 20 Minuten mehr als 630 manipulierte Versionen von 317 Open‑Source‑Paketen.
Was sind die wichtigsten Punkte, die zuerst validiert werden müssen?
Angreifer kompromittierten ein npm‑Maintainerkonto und veröffentlichten in rund 20 Minuten mehr als 630 manipulierte Versionen von 317 Open‑Source‑Paketen. Die Malware wird beim Installieren von Abhängigkeiten ausgeführt, durchsucht Systeme nach Tokens, Cloud‑Credentials und Passwort‑Manager‑Daten und versucht sich über gestohlene CI/CD‑Zugänge weiterzuverbreiten.
Was soll ich als nächstes in der Praxis tun?
Eine frühere Welle des Angriffs über TanStack‑Pakete erreichte hunderte Projekte und infizierte auch zwei Geräte von OpenAI‑Mitarbeitern – ohne Auswirkungen auf Nutzerdaten oder Produktionssysteme.
zahlreiche @antv/*‑Pakete aus dem AntV‑Visualisierungs‑Ökosystem von Alibaba
Einige dieser Bibliotheken sind Abhängigkeiten populärer Frontend‑Frameworks und Visualisierungs‑Tools. Dadurch konnte sich der Angriff über zahlreiche Projekte hinweg verbreiten.
Microsoft bestätigte später, dass insbesondere das @antv‑Ökosystem eine Kettenreaktion auslöste: Andere Projekte hängen direkt von diesen Bibliotheken ab. Ein Beispiel ist echarts-for-react, das über eine Million Downloads pro Woche erreicht und damit eine große potenzielle Angriffsfläche schafft.
Malware startet bereits beim Installieren
Die manipulierten Versionen enthielten ein stark verschleiertes JavaScript‑Payload. Dieses wurde so eingebettet, dass es automatisch während der Installation ausgeführt wird.
Das geschieht über sogenannte Install‑Hooks wie preinstall, die npm während der Installation eines Pakets ausführt. Schon ein gewöhnlicher Installationsvorgang reicht daher aus, um den Code auf Entwickler‑Maschinen oder in CI‑Pipelines zu starten.
Forscher beobachteten außerdem einen zweiten Verteilungsweg:
optionalDependencies, die auf GitHub‑Commit‑Hashes verweisen.
Da npm Paketinhalt direkt über einen Commit‑SHA aus einem Repository laden kann, konnten Angreifer Objekte aus Forks referenzieren, die dieselbe Git‑Historie teilen – selbst ohne Schreibzugriff auf das Originalprojekt.
Ziel der Angreifer: Zugangsdaten stehlen
Der Hauptzweck der Malware war Credential Harvesting – also das Sammeln möglichst vieler Zugangsdaten aus Entwicklerumgebungen.
Die Schadsoftware durchsuchte Systeme unter anderem nach:
npm‑Publishing‑Tokens
GitHub Personal Access Tokens
AWS‑, Azure‑ und Google‑Cloud‑Credentials
Datenbank‑Verbindungsstrings
Slack‑Tokens und API‑Keys
SSH‑Schlüsseln und Docker‑Authentifizierungsdateien
Kubernetes‑ und HashiCorp‑Vault‑Tokens
Auch lokale Passwort‑Manager wurden gezielt geprüft, darunter 1Password, Bitwarden, pass und gopass.
Für den Datendiebstahl nutzte die Malware zwei Wege: gestohlene Informationen wurden entweder als Git‑Objekte in öffentliche GitHub‑Repositories geschrieben oder über verschlüsselte HTTPS‑Anfragen übertragen, die wie Telemetrie‑Traffic aussahen.
Ein Wurm, der sich selbst weiterverbreitet
Sicherheitsforscher beschreiben Mini Shai‑Hulud als selbstverbreitend.
Nachdem Zugangsdaten gesammelt wurden, versucht die Malware diese zu nutzen, um weitere Systeme zu kompromittieren. In CI‑Umgebungen kann sie beispielsweise zusätzliche Tokens abgreifen oder automatisierte Workflows manipulieren, sodass neue manipulierte Paketversionen veröffentlicht werden.
Damit werden kompromittierte Entwicklerrechner oder Build‑Pipelines zu neuen Ausgangspunkten für weitere Supply‑Chain‑Angriffe.
Frühere Angriffswelle über TanStack‑Pakete
Bereits Anfang Mai 2026 tauchte eine verwandte Angriffswelle auf, die Pakete aus dem TanStack‑Ökosystem kompromittierte – einer weit verbreiteten Sammlung von Frontend‑Bibliotheken.
Die manipulierten Releases enthielten ebenfalls verschleierten Code, der Entwicklungsumgebungen analysierte und Zugangsdaten aus CI/CD‑Systemen oder lokalen Konfigurationen sammelte.
Mit diesen Informationen konnten Angreifer weitere Repositories oder Pakete angreifen und die Kampagne ausweiten.
Auswirkungen: auch OpenAI‑Geräte betroffen
Die TanStack‑Welle hatte reale Folgen über die Open‑Source‑Community hinaus.
OpenAI bestätigte später, dass zwei Geräte von Mitarbeitenden über die kompromittierte Abhängigkeitskette betroffen waren. Die Malware zeigte Aktivitäten, die mit Credential‑Diebstahl und Zugriffen auf interne Repositories übereinstimmen.
Nach Angaben des Unternehmens gab es jedoch:
keinen Zugriff auf Nutzerdaten
keine Kompromittierung von Produktionssystemen
keine Beeinträchtigung von geistigem Eigentum oder ausgelieferter Software
Als Vorsichtsmaßnahme isolierte OpenAI die betroffenen Systeme, widerrief Sitzungen, rotierte Zugangsdaten, schränkte Deployment‑Workflows ein und begann mit dem Austausch von Code‑Signatur‑Zertifikaten.
Warum dieser Angriff so brisant ist
Mini Shai‑Hulud zeigt eine Entwicklung, die Sicherheitsexperten zunehmend beobachten: Angriffe richten sich nicht mehr primär gegen Anwendungen, sondern gegen die Werkzeuge und Abhängigkeiten, mit denen Software gebaut wird.
Die Kampagne sticht besonders hervor, weil:
vertrauenswürdige Maintainer‑Konten statt neuer Malware‑Pakete genutzt wurden
automatisierte Veröffentlichung hunderte infizierte Versionen in Minuten erzeugte
gestohlene Entwickler‑Credentials für weitere Angriffe genutzt werden
Da moderne Software stark auf Open‑Source‑Bibliotheken aufbaut, kann schon eine kurze Kompromittierung eines beliebten Pakets tausende nachgelagerte Projekte betreffen.
Der Vorfall verdeutlicht deshalb eine wachsende Herausforderung: Nicht nur Anwendungen selbst müssen geschützt werden, sondern die gesamte Software‑Lieferkette – von Maintainer‑Accounts über Build‑Pipelines bis zu Paket‑Registries.
openai.comOur response to the TanStack npm supply chain attack | OpenAI
Comments
0 comments