Trügerisches Vertrauen in populäre Pakete


Shai-Hulud-Angriff: JFrog zeigt Schwachstellen in der Open-Source-Sicherheit auf
Der Shai-Hulud-Angriff ist kein Einzelfall, sondern Teil eines breiteren Trends


Open Source ist das Rückgrat der digitalen Infrastruktur, doch die jüngste Shai-Hulud-Angriff offenbart, wie fragil ihre Lieferkette tatsächlich ist. Das JFrog Security Research Team hat 164 kompromittierte npm-Pakete in 338 Versionen identifiziert, die darauf ausgelegt waren, Zugangsdaten von Entwickler-Rechnern und CI/CD-Umgebungen abzugreifen. Betroffen waren Tokens für AWS, GCP, GitHub und npm, die in von Angreifern kontrollierte GitHub-Repositories exfiltriert wurden.

Der Angriff nahm mit einer manipulierten Version von @ctrl/tinycolor seinen Anfang und breitete sich rasch auf weitere stark genutzte Bibliotheken wie angulartics2, koa2-swagger-ui und react-jsonschema-form-conditionals aus. Varianten des manipulierten Payloads zeigten eine zunehmende Raffinesse: Sie nutzten Tools wie TruffleHog, um nach geheimen Schlüsseln zu suchen, und experimentierten mit unterschiedlichen Exfiltrationsmethoden. Umfang und Geschwindigkeit verdeutlichen, wie sich Kompromittierungen in der Lieferkette binnen weniger Tage durch gesamte Ökosysteme fortpflanzen können.

Shachar Menashe, VP Security Research bei JFrog, warnt eindringlich vor einem trügerischen Vertrauen in populäre Pakete:

"Der npm-Angriff fügt sich in ein wachsendes Muster ein, bei dem Angreifer gezielt Maintainer populärer, aber unzureichend ausgestatteter Open-Source-Projekte attackieren. Der umfangreiche und technisch ausgefeilte xz-Backdoor-Angriff Anfang 2024 etwa gelang, weil XZ Utils personell unterbesetzt war und die Betreuer externe Hilfe anforderten.

Die eigentliche Herausforderung ist die Geschwindigkeit. Sobald ein vertrauenswürdiges Paket kompromittiert ist, kann es sich über CI/CD-Pipelines und in viele Projekte hinein rasch ausbreiten. Ein Zero-Trust-Ansatz ist entscheidend: Keinem Paket darf allein wegen seiner Popularität uneingeschränkt vertraut werden."

Das JFrog Security Research Team empfiehlt, zur Eindämmung solcher Angriffe die verpflichtende Einführung von Zwei-Faktor-Authentifizierung. Diese wird bereits bei npm und PyPI durchgesetzt, nicht jedoch in anderen Repositorien wie Maven und NuGet. Governance-Rahmenwerke wie ISO 27001 fördern zwar Disziplin, reichen aber nicht aus, um das Risiko aus Open-Source-Nutzung zuverlässig zu adressieren, da die Durchsetzung uneinheitlich ist und Sicherheitskontrollen mitunter mangelhaft implementiert werden.

Menashe fügte hinzu: "Wirksam ist, Pakete vor ihrem Einzug in eine Organisation zu kuratieren, sie anhand klar definierter Regeln zu prüfen und sowohl direkte als auch transitive Abhängigkeiten im jeweiligen Kontext zu analysieren. Verzögerte Updates helfen ebenfalls: Unsere Forschung zeigt, dass das Warten von mindestens 14 Tagen vor dem Einsatz neuer Paketversionen einen starken Schutz bietet, denn kompromittierte Pakete werden in diesem Zeitraum fast immer entdeckt und entfernt. Solche Angriffe werden weiter stattfinden, doch die richtige Kombination aus Kuratierung, Zero-Trust und Shift-Left-Praktiken kann ihre Auswirkungen deutlich begrenzen."

Das Gesamtbild
Der Shai-Hulud-Angriff ist kein Einzelfall, sondern Teil eines breiteren Trends. Angreifer nutzen zunehmend die Lücke zwischen der zentralen Bedeutung von Open-Source-Projekten und den begrenzten Ressourcen ihrer Maintainer aus.

Für Organisationen ergibt sich daraus eine eindeutige Lehre: Transparenz, klare Governance und bewusstes Zögern sind unverzichtbare Säulen einer wirksamen Verteidigung der Software-Lieferkette. Open Source bleibt zwar ein entscheidender Motor digitaler Innovation, doch blindes Vertrauen ist nicht mehr tragfähig. Resilienz entsteht nicht durch Popularität, sondern durch vorausschauende Prüfung, kontrollierte Einführung und eine Zero-Trust-Strategie.

Den vollständigen Bericht des JFrog Security Research Teams können Sie hier nachlesen:
https://jfrog.com/blog/shai-hulud-npm-supply-chain-attack-new-compromised-packages-detected/ . (JFrog: ra)

eingetragen: 08.10.25

Jfrog: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Infiltrationsmethoden von Hackern

    "Sie hacken nicht mehr, sie loggen sich ein" ist ein oft zitierter Satz zu zeitgenössischen Infiltrationsmethoden von Hackern - und das mit Recht: Im Juni verkaufte ein Mitarbeiter eines Software-Dienstleisters für Banken seine Logindaten für 920 Dollar an Cyberkriminelle. Die Hacker wussten genau, wen sie bestechen mussten, denn mit seinen Zugangsdaten und der Verbindungen der Firma zu diversen Finanzhäusern waren sie in der Lage, sechs Banken auf einmal zu infiltrieren und dabei 140 Millionen Dollar zu entwenden. Ein lukratives Tauschgeschäft für die Drahtzieher, das keinen Bankraub mit Skimasken und Schusswaffen erforderte. Für den Raubzug selbst mussten sie kaum vor die Tür gehen; lediglich einmal, um den Mitarbeiter vor einer Bar abzufangen und ihn für den Coup einzuspannen.

  • Chinesische Hacker nutzen KI

    Cyberwarfare ist zu einer unmittelbaren Bedrohung geworden. Staatlich unterstützte Bedrohungsakteure wie Volt Typhoon und Salt Typhoon haben es schon seit Jahren auf kritische Infrastrukturen abgesehen. Laut dem neuesten Bericht von Armis, "Warfare Without Borders: AI's Role in the New Age of Cyberwarfare" sind mehr als 87 Prozent der weltweiten IT-Entscheidungsträger über die Auswirkungen von Cyberwarfare besorgt. Weltweit nennen IT-Entscheider durchweg drei dominierende staatlich unterstützte Bedrohungen: Russland (73 Prozent), China (73 Prozent) und Nordkorea (40 Prozent). Insbesondere glauben 73 Prozent, dass Bedrohungsakteure aus China das größte Risiko darstellen.

  • Malware in Dokumenten

    Die Digitalisierung des Finanzsektors und die Verarbeitung großer Mengen sensibler Daten machen Finanzdienstleister zunehmend zur Zielscheibe für Cyberkriminelle. Angreifer setzen dabei auf bewährte Methoden wie Social Engineering, Phishing oder Ransomware, um Systeme zu kompromittieren, Informationen abzugreifen, Unternehmen zu erpressen oder Betriebsstörungen zu verursachen. Besonders häufig wählen sie Angriffspfade, die sich im Arbeitsalltag etabliert haben. Mit Malware infizierte Dokumente stellen immer noch eine oft unterschätzte Bedrohung dar. Der folgende Beitrag erläutert die Gefahr, die von diesem Angriffsvektor ausgeht und wie ein mehrschichtiger Schutzansatz die Cybersicherheit im Finanzumfeld stärken kann.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen