Shai-Hulud – Der gefährlichste Wurm der npm-Geschichte

TL; DR

Ein selbstreplizierender Wurm namens „Shai‑Hulud“ hat über 500 npm‑Pakete kompromittiert. Wenn eure WordPress‑Builds (Themes, Blöcke, Frontend) npm nutzen: Abhängigkeiten prüfen, Versionen vor dem 16. Sept. 2025 pinnen, Entwickler‑Credentials rotieren und GitHub/npm mit phishing‑resistenter MFA absichern.

🛑 Alert (CISA) – 23. September 2025

Eine weitreichende Software‑Supply‑Chain‑Kompromittierung betrifft das npm‑Ökosystem (npmjs.com). Der Wurm Shai‑Hulud verbreitet sich automatisiert, stiehlt Tokens/Keys und veröffentlicht manipulierte Paketversionen.

Was ist passiert?

1. Initialer Zugriff auf Entwickler‑Accounts.
2. Malware scannt nach GitHub‑PATs sowie API‑Keys für AWS, GCP und Azure.
3. Exfiltration der gefundenen Zugangsdaten an ein Angreifer‑Endpoint und per GitHub‑API (user/repos) in ein öffentliches Repo „Shai‑Hulud“.
4. Selbstreplikation: Authentifiziert sich als kompromittierter Dev, injiziert Code in weitere Pakete und veröffentlicht kompromittierte Releases.

Konkrete Maßnahmen für WordPress‑Teams

• Dependency‑Review aller npm‑Pakete durchführen (inkl. verschachtelter Abhängigkeiten via package-lock.json oder yarn.lock).
• Artefakt‑Caches (Registry‑Proxys, CI‑Caches) nach betroffenen Versionen durchsuchen.
• Versionen pinnen auf bekannte, sichere Stände vor dem 16.09.2025.
• Alle Entwickler‑Credentials rotieren (GitHub, npm, CI/CD, Cloud‑Provider).
• Phishing‑resistente MFA für GitHub/npm erzwingen (z. B. FIDO2, App‑basierte Codes).
• Netzwerkmonitoring schärfen: Ausgehende Verbindungen zu webhook.site blocken; Firewall‑Logs auf verdächtige Domains prüfen.
• GitHub harten: Unnötige GitHub Apps & OAuths entfernen; Repository‑Webhooks & Secrets auditieren; Branch‑Protection, Secret‑Scanning & Dependabot aktivieren.

Hintergrund & Quellen

• GitHub: Plan für eine sicherere npm‑Supply‑Chain
• StepSecurity: Shai‑Hulud kompromittiert 500+ npm‑Pakete
• Palo Alto Networks Unit 42: Analyse & Updates
• Socket: Laufender Angriff auf CrowdStrike‑Pakete
• ReversingLabs: Token‑Stealer auf npm

Beispiel: Ein WP‑Theme mit Vite/Webpack zieht automatisch eine kompromittierte Minor‑Version eines beliebten Utility‑Pakets. Der Build läuft durch, doch der Angreifer erhält euren GitHub‑PAT aus der CI‑Umgebung und veröffentlicht anschließend manipulierte Versionen unter eurem Account. Gegenmittel: Lock‑Files prüfen, Versionen vor dem 16.09.2025 pinnen, Tokens sofort rotieren, MFA aktivieren und GitHub‑Apps/Webhooks auditieren.

Disclaimer

Die Informationen werden „as is“ zu reinen Informationszwecken bereitgestellt. Es erfolgt keine Unterstützung oder Empfehlung bestimmter Unternehmen, Produkte oder Dienste.