Sicherheitsforscher mehrerer Unternehmen haben eine neue Welle von Supply-Chain-Angriffen beobachtet, die mit der Malware-Familie Mini Shai-Hulud, Miasma und Hades verbunden ist. Mindestens 23 npm-Pakete aus den Ökosystemen LeoPlatform und RStreams sowie ein Go-Modul des Projekts Verana Blockchain wurden kompromittiert. Die Kampagne zielt darauf ab, Zugangsdaten von Entwicklern und Maintainern zu stehlen und sich anschliessend über Paketregister, GitHub-Repositories und CI/CD-Pipelines weiterzuverbreiten. Organisationen, die diese Pakete in Cloud- und Serverless-Workloads einsetzen, sollten umgehend die verwendeten Abhängigkeitsversionen prüfen und alle potenziell kompromittierten Tokens rotieren.
Betroffene Pakete und Umfang der Kompromittierung
Nach Angaben von Socket sind in der neuen Angriffswelle die folgenden npm-Pakete mit den jeweils trojanisierten Versionen betroffen:
- [email protected], [email protected]
- [email protected], [email protected], [email protected], [email protected], [email protected], [email protected]
- [email protected], [email protected], [email protected], [email protected], [email protected]
- [email protected], [email protected], [email protected], [email protected]
- [email protected], [email protected], [email protected]
- [email protected], [email protected], [email protected]
- Go-модуль: github.com/verana-labs/[email protected]
Wie StepSecurity berichtet, haben die Angreifer mutmasslich den npm-Account des LeoPlatform-Maintainers kompromittiert und dessen Token genutzt, um die trojanisierten Versionen innerhalb eines Sechs-Sekunden-Fensters zu veröffentlichen – ein Hinweis auf einen hohen Automatisierungsgrad des Prozesses.
Technische Anatomie des Angriffs
Die bösartigen npm-Pakete verwenden einen unüblichen Ansatz zur Ausführung von Code während der Installation. Anstelle der typischen Lifecycle-Hooks in der package.json nutzen sie die Datei binding.gyp – einen Build-Mechanismus für native Node.js-Module, der während der Paketinstallation beliebigen Code ausführen kann. Diese Technik erlaubt es, statische Analysewerkzeuge zu umgehen, die sich auf die Prüfung des scripts-Abschnitts in der package.json konzentrieren.
Die Infektionskette stellt sich wie folgt dar:
- binding.gyp startet bei der Installation des Pakets einen JavaScript-Loader
- Der Loader prüft, ob die Bun-Laufzeitumgebung vorhanden ist, und installiert sie bei Abwesenheit
- Die eigentliche Nutzlast wird gestartet – ein Stealer, der Secrets, Zugangsdaten und Tokens sammelt
- Die Malware schleust in GitHub Actions einen Workflow mit dem Namen «Run Copilot» ein, der Secrets der CI/CD-Umgebung aus dem Speicher des Runners extrahiert
- Die gesammelten Daten werden verschlüsselt und in öffentliche GitHub-Repositories exfiltriert
Nach Angaben der Forscher enthält die Malware einen Abschaltmechanismus für Systeme mit russischer Locale (sogenannter Killswitch) und prüft vor Ausführung der eigentlichen Nutzlast das Vorhandensein von Endpoint-Schutzlösungen.
Indikatoren einer Kompromittierung
Die Forscher haben mehrere charakteristische String-Marker identifiziert, die in der Kampagne eingesetzt werden:
- «Alright Lets See If This Works» – Beschreibung von GitHub-Repositories, die als Ablagepunkte für die abgegriffenen Daten dienen. Zum Zeitpunkt der Veröffentlichung der Untersuchung entsprachen 559 Repositories dieser Beschreibung
- «RevokeAndItGoesKaboom» – aktueller Marker für die Weiterleitung von Tokens, der den zuvor genutzten «IfYouInvalidateThisTokenItWillNukeTheComputerOfTheOwner» ersetzt hat
- «firedalazer» – String in GitHub-Commits, anhand dessen die Malware stündlich die Plattform abfragt, um eine Hades-Variante abzurufen und auszuführen
Verbindung zur Kompromittierung von codfish/semantic-release-action
Der Marker «RevokeAndItGoesKaboom» verknüpft diese Kampagne mit der kürzlichen Kompromittierung der GitHub Action codfish/semantic-release-action. Gemäss dem Bericht von StepSecurity führte der Angreifer am 24. Juni 2026 um 15:39:06 UTC einen Force-Push eines bösartigen Commits aus und bog mehrere Versionstags auf diesen Commit um. Alle Workflows, die die kompromittierten Tags nach diesem Zeitpunkt verwendeten, führten die Nutzlast des Angreifers direkt im GitHub-Actions-Runner aus.
Die Nutzlast stahl in diesem Fall gemäss den Forschern GitHub-OIDC-Token, sammelte Personal Access Tokens (PAT), verschlüsselte das Material mittels AES-128-GCM und versuchte, den Backdoor in andere zugängliche Repositories zu verbreiten. Die Nutzung gemeinsamer Marker deutet darauf hin, dass all diese Vorfälle zu einem gemeinsamen Operationscluster oder einer gemeinsamen Tooling-Basis gehören.
Ausweitung auf das Go-Ökosystem
Die Kompromittierung des Go-Moduls Verana Blockchain markiert eine Ausweitung der Kampagne über npm hinaus. Wie Socket anmerkt, verwendet dieses Sample jedoch kein binding.gyp und stützt sich weder auf Mechanismen der Modulauflösung noch auf den Build-Prozess von Go. Stattdessen manifestiert sich die Bedrohung durch Codeausführung im Kontext des Quellrepositories: Ein Entwickler, der das Repository in einer vertrauenswürdigen IDE oder einer AI-Codeassistenzumgebung klont oder öffnet, kann die schädliche Nutzlast unbeabsichtigt über die Projektkonfiguration auslösen.
Dies stellt einen grundlegenden Taktikwechsel dar: Miasma wandert zwischen verschiedenen Paketökosystemen und greift Entwickler-Workflows selbst an, nicht mehr nur Installations-Hooks von Paketmanagern.
Bewertung der Auswirkungen
Wie JFrog festhält, steht das Paketset Leo/RStreams im Zusammenhang mit Cloud- und Serverless-Workloads. Die Kompromittierung dieser Pakete betrifft potenziell:
- Entwickler-Workstations
- CI/CD-Systeme und Deployment-Pipelines
- AWS-basierte Anwendungen
- GitHub-Repositories und Zugangsdaten zur Paketveröffentlichung
- nachgelagerte Nutzer der kompromittierten Pakete
Die Kerngefahr der Kampagne liegt weniger in einer radikal neuen Nutzlast als vielmehr in der Fähigkeit von Shai-Hulud, sich nacheinander durch legitime Paketökosysteme zu bewegen und Indikatoren jeweils gerade so weit zu verändern, dass veraltete Erkennungsregeln wirkungslos werden.
Empfehlungen zur Reaktion
- Sofortige Überprüfung der Abhängigkeiten: gleichen Sie die verwendeten Versionen aller aufgeführten Pakete mit den genannten kompromittierten Versionen ab. Verwenden Sie
npm lsodergo list -m allfür die Inventarisierung - Rotation von Secrets: Wenn kompromittierte Versionen festgestellt werden, rotieren Sie alle npm-Tokens, GitHub PAT, OIDC-Tokens, AWS-Schlüssel und andere Secrets, auf die aus den betroffenen Umgebungen zugegriffen werden konnte
- Audit von GitHub Actions: Prüfen Sie Workflows auf das Vorhandensein eines Workflows namens «Run Copilot» oder Referenzen auf codfish/semantic-release-action. Pinnen Sie alle verwendeten Actions auf konkrete Commit-Hashes statt auf Versionstags fest
- Suche nach IOC: Durchsuchen Sie Logs nach den Strings «Alright Lets See If This Works», «RevokeAndItGoesKaboom» und «firedalazer» im Netzwerkverkehr und in Repository-Konfigurationen
- Überwachung von binding.gyp: Richten Sie in Ihren Dependency-Analysewerkzeugen Alarme ein, die das Auftauchen von binding.gyp-Dateien in Paketen melden, die keine nativen Module sind
- Überprüfung der IDE-Umgebungen: Deaktivieren Sie bei der Arbeit mit geklonten Repositories aus nicht verifizierten Quellen die automatische Ausführung von Projektkonfigurationsskripten in IDEs und AI-Assistenten
Die Shai-Hulud/Miasma-Kampagne zeigt ein robustes Modell einer sich selbst ausbreitenden Supply-Chain-Attacke, bei der jedes kompromittierte Entwicklerkonto zum Vektor für die Infektion neuer Ökosysteme wird. Vorrangige Massnahmen für Teams, die Pakete von LeoPlatform, RStreams oder Verana Blockchain einsetzen, sind: die sofortige Fixierung von Abhängigkeitsversionen, die Rotation aller Secrets aus potenziell betroffenen CI/CD-Umgebungen und der Umstieg auf das Pinnen von GitHub Actions an Commit-Hashes anstelle veränderlicher Tags.
