TeamPCP veröffentlicht Quellcode des Shai‑Hulud‑Supply‑Chain‑Wurms auf GitHub

Anders als viele frühere Supply‑Chain‑Angriffe war Shai‑Hulud selbstverbreitend: Sobald ein infiziertes Paket installiert wurde, konnte sich die Malware über weitere Entwickler‑Workflows und Paketveröffentlichungen weiter ausbreiten.

Kurz nach der Attacke stellte TeamPCP den kompletten Quellcode des Wurms in zwei GitHub‑Repositories online. Da die Veröffentlichung unter der MIT‑Lizenz erfolgt, darf der Code frei kopiert, verändert und erneut verteilt werden.

Warum die MIT‑Lizenz ein Problem – und eine Chance – ist

Die Entscheidung, offensive Malware unter einer Open‑Source‑Lizenz zu veröffentlichen, ist ungewöhnlich.

Für Verteidiger hat das klare Vorteile:

• Sicherheitsregeln (z. B. YARA, Sigma oder EDR‑Signaturen) können direkt auf Basis des echten Codes erstellt werden
• Malware‑Verhalten lässt sich exakt in Sandboxes oder Testumgebungen nachstellen
• Sicherheitskontrollen in CI/CD‑Pipelines können gegen realistische Angriffsszenarien geprüft werden

Für Angreifer bedeutet dieselbe Transparenz jedoch:

• Der Code kann problemlos geforkt und angepasst werden
• Neue Varianten lassen sich schneller entwickeln
• Der Wurm kann auf andere Paket‑Ökosysteme oder Plattformen portiert werden

Damit wird Shai‑Hulud weniger zu einer einzelnen Malware – und mehr zu einer Blaupause für Angriffe auf Entwickler‑Workflows.

Technische Fähigkeiten des Shai‑Hulud‑Wurms

Analysen der Kampagne zeigen, dass die Malware mehrere fortgeschrittene Supply‑Chain‑Techniken kombiniert.

Diebstahl von OIDC‑Tokens aus CI/CD‑Pipelines

Eine zentrale Funktion ist der Diebstahl von OpenID‑Connect‑Tokens (OIDC) aus Build‑Pipelines, etwa aus GitHub‑Actions‑Workflows.

Anstatt nur gespeicherte Zugangsdaten zu stehlen, greifen die Angreifer laufende Tokens direkt während der Pipeline‑Ausführung ab. Dadurch können sie manipulierte Pakete über legitime Release‑Automationen veröffentlichen.

Manipulierte Pakete mit gültiger Provenance

Besonders problematisch: Einige der kompromittierten Pakete wurden mit gültigen SLSA‑Build‑Level‑3‑Provenance‑Attestationen veröffentlicht.

Das bedeutet, dass sie für viele automatisierte Prüfmechanismen wie legitime Artefakte aus vertrauenswürdigen Build‑Pipelines aussahen.

Sammeln sensibler Zugangsdaten

Nach der Installation startet der Wurm einen Credential‑Stealer, der Daten aus Entwickler‑Umgebungen sammelt. Dazu gehören unter anderem:

• AWS‑ und andere Cloud‑Zugangsdaten
• SSH‑Private‑Keys
• npm‑ und PyPI‑Publishing‑Tokens
• GitHub‑Personal‑Access‑Tokens
• Kubernetes‑ oder Vault‑Secrets

Berichten zufolge durchsucht die Malware über 100 typische Speicherorte für Zugangsdaten auf Entwickler‑Systemen.

Selbstverbreitung über Paket‑Ökosysteme

Mit gestohlenen Zugangsdaten oder kompromittierten Release‑Pipelines kann der Wurm automatisch weitere Pakete infizieren und veröffentlichen. Dadurch entsteht eine Kettenreaktion innerhalb von Entwickler‑Ökosystemen.

Mögliche „Dead‑Man’s‑Switch“-Funktion

Einige Sicherheitsanalysen beschreiben außerdem eine potenziell zerstörerische Wiper‑Komponente. Diese könnte Daten löschen, wenn bestimmte Bedingungen erfüllt sind.

Deshalb empfehlen Experten, kompromittierte Systeme nicht nur zu bereinigen, sondern als vollständig kompromittiert zu behandeln.

Verbindung zu früheren TeamPCP‑Angriffen

Die Mai‑Kampagne war offenbar nicht der erste Supply‑Chain‑Angriff der Gruppe.

Eine Analyse der Cloud Security Alliance beschreibt eine frühere Angriffsserie vom 29.–30. April 2026, bei der npm‑, PyPI‑ und Packagist‑Repositories gleichzeitig kompromittiert wurden. Rund 1.800 Repositories waren betroffen.

Die Entwicklung der Angriffe zeigt eine klare Eskalation:

• Frühere Attacken nutzten hauptsächlich gestohlene Registry‑Tokens
• Die Mai‑Kampagne übernahm komplette Publishing‑Pipelines und stahl OIDC‑Tokens
• Der Wurm konnte sich selbstständig über Paket‑Ökosysteme verbreiten

Das zeigt, wie schnell Angreifer ihre Methoden an neue Sicherheitsmechanismen anpassen.

Unmittelbare Risiken für Entwickler und Unternehmen

Organisationen, die während des Angriffszeitraums betroffene Pakete installiert haben, könnten weiterhin gefährdet sein.

Sicherheitsanalysen empfehlen, jede Umgebung mit solchen Paketen als potenziell kompromittiert zu behandeln, da der Wurm Zugangsdaten sammelt und sich in Entwickler‑Workflows festsetzen kann.

Ein weiterer wichtiger Punkt: Digitale Signaturen oder Build‑Provenance garantieren keine Sicherheit, wenn die zugrunde liegende Build‑Pipeline selbst kompromittiert wurde.

Empfohlene Sofortmaßnahmen

Sicherheitsteams sollten bei möglicher Betroffenheit schnell reagieren:

• Alle npm‑ und PyPI‑Abhängigkeiten prüfen, die seit dem 11.05.2026 installiert oder gebaut wurden.
• Projekte aus sauberen Build‑Umgebungen und mit bekannten Lockfiles neu erstellen.
• Sämtliche Entwickler‑, CI/CD‑, Cloud‑ und Registry‑Zugangsdaten rotieren.
• GitHub‑Actions‑ oder andere CI‑Workflows auf unerwartete Änderungen oder Veröffentlichungen prüfen.
• Paket‑Publishing nur über gehärtete Runner mit minimalen OIDC‑Rechten erlauben.

Außerdem sollten Organisationen auf neue Varianten des Wurms achten, da die öffentliche Veröffentlichung des Quellcodes wahrscheinlich zu Nachahmer‑ oder modifizierten Angriffen führen wird.

Ein Wendepunkt für Supply‑Chain‑Security

Der Shai‑Hulud‑Vorfall verdeutlicht eine wichtige Entwicklung: Angreifer konzentrieren sich zunehmend nicht auf einzelne verwundbare Pakete, sondern auf Entwickler‑Workflows selbst.

Mit der Veröffentlichung des Quellcodes hat TeamPCP aus einer realen Angriffskampagne faktisch eine öffentlich verfügbare Blaupause gemacht. Für Sicherheitsteams beginnt damit ein Wettlauf: den Angriff schneller zu verstehen, als neue Varianten entstehen.