TL; DR
Ein selbstreplizierender Wurm namens „Shai‑Hulud“ hat über 500 npm‑Pakete kompromittiert. Wenn eure WordPress‑Builds (Themes, Blöcke, Frontend) npm nutzen: Abhängigkeiten prüfen, Versionen vor dem 16. Sept. 2025 pinnen, Entwickler‑Credentials rotieren und GitHub/npm mit phishing‑resistenter MFA absichern.
🛑 Alert (CISA) – 23. September 2025
Eine weitreichende Software‑Supply‑Chain‑Kompromittierung betrifft das npm‑Ökosystem (npmjs.com). Der Wurm Shai‑Hulud verbreitet sich automatisiert, stiehlt Tokens/Keys und veröffentlicht manipulierte Paketversionen.
Was ist passiert?
- Initialer Zugriff auf Entwickler‑Accounts.
- Malware scannt nach GitHub‑PATs sowie API‑Keys für AWS, GCP und Azure.
- Exfiltration der gefundenen Zugangsdaten an ein Angreifer‑Endpoint und per GitHub‑API (user/repos) in ein öffentliches Repo „Shai‑Hulud“.
- Selbstreplikation: Authentifiziert sich als kompromittierter Dev, injiziert Code in weitere Pakete und veröffentlicht kompromittierte Releases.
Konkrete Maßnahmen für WordPress‑Teams
- Dependency‑Review aller npm‑Pakete durchführen (inkl. verschachtelter Abhängigkeiten via
package-lock.jsonoderyarn.lock). - Artefakt‑Caches (Registry‑Proxys, CI‑Caches) nach betroffenen Versionen durchsuchen.
- Versionen pinnen auf bekannte, sichere Stände vor dem 16.09.2025.
- Alle Entwickler‑Credentials rotieren (GitHub, npm, CI/CD, Cloud‑Provider).
- Phishing‑resistente MFA für GitHub/npm erzwingen (z. B. FIDO2, App‑basierte Codes).
- Netzwerkmonitoring schärfen: Ausgehende Verbindungen zu
webhook.siteblocken; Firewall‑Logs auf verdächtige Domains prüfen. - GitHub harten: Unnötige GitHub Apps & OAuths entfernen; Repository‑Webhooks & Secrets auditieren; Branch‑Protection, Secret‑Scanning & Dependabot aktivieren.
Hintergrund & Quellen
- GitHub: Plan für eine sicherere npm‑Supply‑Chain
- StepSecurity: Shai‑Hulud kompromittiert 500+ npm‑Pakete
- Palo Alto Networks Unit 42: Analyse & Updates
- Socket: Laufender Angriff auf CrowdStrike‑Pakete
- ReversingLabs: Token‑Stealer auf npm
Beispiel: Ein WP‑Theme mit Vite/Webpack zieht automatisch eine kompromittierte Minor‑Version eines beliebten Utility‑Pakets. Der Build läuft durch, doch der Angreifer erhält euren GitHub‑PAT aus der CI‑Umgebung und veröffentlicht anschließend manipulierte Versionen unter eurem Account. Gegenmittel: Lock‑Files prüfen, Versionen vor dem 16.09.2025 pinnen, Tokens sofort rotieren, MFA aktivieren und GitHub‑Apps/Webhooks auditieren.
Disclaimer
Die Informationen werden „as is“ zu reinen Informationszwecken bereitgestellt. Es erfolgt keine Unterstützung oder Empfehlung bestimmter Unternehmen, Produkte oder Dienste.