Eine neue Version des Wurms „Shai-Hulud“ trifft das SAP-Ökosystem: Manipulierte npm-Pakete stehlen Zugangsdaten aus Entwicklersystemen. Nutzer sollten Builds und Abhängigkeiten prüfen und bereinigte Releases einspielen.
Nachdem die Malware „Shai-Hulud“ erstmals im September 2025 auftauchte, hielt erst eine neue Variante und nun eine Mini-Version die IT-Sicherheitsbranche in Atem. Am 29. April 2026 beschrieben Sicherheitsforscher von Socket eine Kampagne, die sie „mini Shai-Hulud“ nennen, bei der kompromittierte npm-Pakete, die im Cloud Application Programming Model (CAP) von SAP zum Einsatz kommen, den Wurm verbreiten.
Bis zu vier Stunden lang seien an besagtem Tag vier offizielle npm-Pakete aus dem SAP-Entwicklungsökosystem in bösartigen Versionen über GitHub verfügbar gewesen. Jeder, der den Befehl „npm install“ für die betreffende falsche Version ausführte, lud sich eine Payload zum Diebstahl von Zugangsdaten direkt auf seine Entwickler-Workstation oder in seine CI/CD-Pipeline. Bereits das gesamte Jahr 2026 ist von Supply-Chain-Vorfällen ähnlicher Art gezeichnet, doch mini Shai-Hulud ist der erste Fall, bei dem der Wurm direkt die SAP-Lieferkette betrifft.
Diese vier Pakete sind mit bösartigen Versionen infiziert worden:
„@cap-js/sqlite v2.2.2“
„@cap-js/postgres v2.2.2“
„@cap-js/db-service v2.10.1“
„mbt v1.2.48“
Sie werden zusammengenommen rund 570.000 Mal pro Woche heruntergeladen. Das schädliche Verhalten war in den drei eingeschleusten Dateien „package.json“, „setup.mjs“ und „execution.js“ verborgen, die während der Paketinstallation ausgeführt werden.
Socket beobachtet die Lage weiterhin und habe festgestellt, dass weitere Paket-Artefakte von mini Shai-Hulud kompromittiert wurden. Insgesamt seien es 205 kompromittierte npm-Paketartefakte, die sich über die Namensräume von TanStack, UiPath sowie diverse weitere Paket-Namensräume erstrecken würden. Darunter seien auch weit verbreitete Pakete wie „@tanstack/react-router“, das allein in der vergangenen Woche über 12 Millionen Downloads verzeichnete.
Die Analyse von Socket habe ergeben, dass die kompromittierten Paketversionen eine stark verschleierte JavaScript-Payload enthielten. Diese sei darauf ausgelegt, Zugangsdaten aus GitHub Actions, npm, AWS, Kubernetes, HashiCorp Vault sowie weiteren CI- und Cloud-Umgebungen auszulesen. Zudem weise die Malware ein wurmartiges Ausbreitungsverhalten auf. Dazu würden auch Versuche gehören, über OIDC-Flows von GitHub Actions Zugriff auf die npm-Veröffentlichungsrechte zu erlangen, um sich anschließend auf weitere Pakete auszubreiten. Die Payload umfasse zudem Mechanismen zur Persistenzsicherung auf Entwickler-Workstations, darunter Schreibzugriffe auf die Verzeichnisse „.claude/“ und „.vscode/“, sowie die Exfiltration von Daten über das dezentrale P2P-Netzwerk „Session“ unter der Adresse „filev2.getsession[.]org“.
Auch OpenSearch, die PyPI-Pakete mistralai und guardrails-ai sowie zusätzliche Squawk-Pakete seien mittlerweile betroffen. Zu den jüngst bestätigten kompromittierten Artefakten gehören:
„@opensearch-project/opensearch“ (npm-Versionen 3.5.3, 3.6.2, 3.7.0 und 3.8.0)
„PyPI mistralai@2.4.6“
„PyPI guardrails-ai@0.10.1“
Weitere „@squawk/*“-Artefakte (npm), darunter „@squawk/mcp@0.9.5“, „@squawk/weather@0.5.10“, „@squawk/flightplan@0.5.6“ sowie verwandte Pakete
Die Kompromittierung von „guardrails-ai@0.10.1“ sei besonders bemerkenswert, da der bösartige Code bereits beim Import des Pakets ausgeführt werde. Die Analyse von Socket habe bestätigt, dass das Paket auf das Vorhandensein von Linux-Systemen prüfe, ein externes Python-Artefakt von „https://git-tanstack.com/transformers.pyz“ herunterlade, dieses unter „/tmp/transformers.pyz“ ablege und es anschließend mittels „python3“ ohne jegliche Integritätsprüfung ausführe. Dieser Code sei in der unmittelbar vorangegangenen Version „guardrails-ai@0.10.0“ noch nicht enthalten, was bestätige, dass es sich um eine frische Kompromittierung handle.
Socket habe das Problem schnellstmöglich an das Guardrails AI-Projekt auf GitHub gemeldet und angemerkt, dass „guardrails-ai==0.10.1“ das betroffene PyPI-Artefakt im tar.gz-Format sei. Die Versionen 0.10.0 und früher hingegen seien sicher und die Kompromittierung, basierend auf Artefakten, die auf der zugehörigen Infrastruktur beobachtet wurden, offenbar mit dem Bedrohungsaktuer „TeamPCP“ in Verbindung stehe.
Diese jüngsten Aktivitäten würden zeigen, dass sich die Kampagne weiterhin sowohl über npm als auch über PyPI ausbreite, wobei die betroffenen Pakete Bereiche wie Suchinfrastruktur, KI-Tools, entwicklerbezogene Pakete für die Luftfahrt, Unternehmensautomatisierung, Frontend-Tools sowie Ökosysteme im Umfeld von CI/CD umfassen würden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Zum Schutz vor diesem erweiterten Risiko sollten Organisationen ihre Softwarelisten und Lockfiles zügig gegen die von Socket genannten betroffenen Namensräume und Veröffentlichungen prüfen, kompromittierte Artefakte entfernen und auf nachweislich saubere Stände pinnen. Geheimnisse für GitHub Actions, npm, AWS, Kubernetes und Vault sollten umgehend rotiert werden, Veröffentlichungsrechte strikt nach dem Prinzip minimaler Rechte vergeben und eine Zwei-Faktor-Authentifizierung für Veröffentlichungen erzwungen werden.
Der deutsche Software-Anbieter hat schnell reagiert und die betroffenen Versionen noch am selben Nachmittag durch bereinigte Releases ersetzte. Außerdem hat SAP mit dem Security Note 3747787 einen entsprechenden Hinweis für seine Kunden veröffentlicht. Dieser enthält eine Liste der Indicators of Compromise, Dateihashes sowie Maßnahmen zur Schadensbegrenzung.
Auch die Forscher von Socket listen in ihrem Bericht IoCs auf sowie „Detection Opportunities“. Dies sind konkrete, beobachtbare Signale, die Nutzern helfen, verdächtiges Verhalten früh zu erkennen.
Zu ihrem Schutz sollten User folgende Sicherheitsmaßnahmen ausführen:
Abhängigkeiten und Lockfiles auf betroffene Versionen prüfen, Funde entfernen beziehungsweise durch verifizierte, gepinnte Versionen ersetzen und Lockfiles neu erzeugen. Unautorisierte GitHub-Repositories löschen, injizierte Workflow-Branches entfernen, IDE-Config-Änderungen, die die Payload in andere Repos gepusht hat, rückgängig machen und unerwartete Versionssprünge aus npm-Paketen depublizieren.
Möglicherweise exponierte Credentials und Tokens umgehend rotieren. CI/CD- und Build-Logs auf unerwartete Netzwerkaktivität oder Binär-Ausführung während der Installation prüfen. Betroffene Systeme sollten isoliert werden. Außerdem sollte für sie ein Re-Imaging erwägt werden.
Nach den von SAP aufgelisteten Indikatoren suchen sowie GitHub-Repositories mit der Beschreibung „A Mini Shai-Hulud has Appeared“, Commits mit dem String „OhNoWhatsGoingOnWithGitHub“, Commits von „claude claude@users.noreply.github.com“ oder mit der Nachricht „chore: update dependencies“, unerwartete Workflow-Branches, Änderungen an IDE-Konfigurationen, zum Beispiel „.vscode/tasks.json“ und „.claude/settings.json“, die auf betroffenen Maschinen in andere Repositories eingecheckt worden sein könnten.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8e/6c/8e6c180fceaa9fd7e03d529701bb4ec2/0129626445v1.jpeg "Hybride Angriffe verbinden digitale Attacken und physische Sabotage, Ausfälle bei Energie, Kommunikation und Finanzwesen treffen Unternehmen meist unmittelbar. (Bild: © Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/2e/a42e5ce958119e9573114e36963d70af/0131398740v1.jpeg "Indem sie Schwachstellen im Open-Source-Server GlassFish ausnutzen, könnten Cyberkriminelle Remote Code ausführen und möglicherweise den gesamten Server übernehmen. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ec/35/ec35dd567fbd8a9be0f3e154b3f4e3e3/0130401535v2.jpeg "Immer schneller und professioneller agierende Angreifer gefährden die Finanzbranche. Armis sieht die Früherkennung von Attacken als effektivste Lösung. (Bild: © Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/56/7456d1b884ec8babe8213eb174138410/0131163827v1.jpeg "Bei der Locked Shields kommen jährlich Cybersepzialisten aus dem öffentlichen und privaten Sektor zusammen, um unter möglichst realen Bedingungen ihre Abwehrfähigkeiten zu trainieren. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/ab/67abf0435efecf8d2c7a457e713fe1ce/0129496904v1.jpeg "Nach der Azure Arc-Anbindung lassen sich zahlreiche Dienste aus Azure nutzen, auch Protokollierung und Überwachung. (Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/49/7d/497db406d7ac7f31e29300e4e3b6da8c/0131030023v2.jpeg "Gezielte, oft unsichtbare Angriffe umgehen traditionelle Prävention. Eine kontinuierliche Cyber Defense wird zur Voraussetzung für wirtschaftliche Stabilität, Resilienz und digitale Souveränität. (Bild: © Jss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/d7/82d765c6e48fb04717a28466b05a6e26/0131030915v1.jpeg "Während das Threat Management Sichtbarkeit zur Erkennung und Reaktion braucht, benötigt die eigene Architektur hingegen laut Autor Marco Pfuhl Unsichtbarkeit durch logisch isolierte, verdeckte Backups, da Angreifer sichtbare, adressierbare Systeme automatisiert aufspüren und zuerst kompromittieren. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e9/b2/e9b2bcd62bd6a4f4ff2ec83c5b599e9d/0130995446v2.jpeg "Staatliche Institutionen sind begehrte Angriffsziele. Entsprechend sicher müssen ihre Kommunikationslösungen sein. Aber echte Sicherheit braucht mehr als Verschlüsselung. Vier Kernpunkte zeigen, worauf es wirklich ankommt. (Bild: © lisha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/10/a1/10a12092d7740dd5ab08bf039e960e07/0131243860v1.jpeg "Diese Europakarte zeigt, welche öffentlichen Einrichtungen und Behörden Matrix‑basierte beziehungsweise Matrix‑kompatible Kommunikationssysteme nutzen. (Bild: Element)")
:quality(80)/p7i.vogel.de/wcms/07/95/0795e8ee2c5493f136bd924aeba3dbfa/0131416504v1.jpeg "Die geplante EUDI-Wallet soll künftig digitale Ausweise und weitere Nachweise sicher auf dem Smartphone bündeln. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f1/02/f1028ded369fb1140db85f5b13681745/0130884384v1.jpeg "Mitarbeitende nutzen häufig Karte, Passwort und Fingerabdruck parallel. HID führt diese Zugänge zusammen und verspricht weniger Systembrüche im Identitäts-Management. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/0b/390bc7954251fa4f0572c7af2f1c0fca/0131319205v1.jpeg "Vom 16. bis 18. September 2026 findet die Munich Cyber Tactics, Techniques & Procedures statt. (Bild: Vogel IT-Akademie )")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/p7i.vogel.de/wcms/8b/26/8b265eeaf37e063d4abbb47ae723526a/0126593157v1.jpeg "Die NIS-Kooperationsgruppe (NIS Cooperation Group) ist ein EU-Gremium zur Stärkung der Zusammenarbeit im Bereich Cybersicherheit.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/b5/c6/b5c61e5f31b62d92c0f27faa46795cd0/0126861941v2.jpeg "Der Wurm „Shai-Hulud“ ist ein sich selbstverbreitender Supply-Chain-Schädling, der über kompromittierte Maintainer-Accounts in npm-Pakete eindringt, dort bösartigen Code einfügt und so automatisch weitere Pakete infiziert und neu veröffentlicht. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7a/f2/7af27244e2a7e2020c8cf1e428560094/0129336301v2.jpeg "Self-hosted GitHub Actions Runner eignen sich aufgrund ihrer Eigenschaften – wie der Fähigkeit, beliebigen Code auszuführen und persistenten Zugriff auf interne Netzwerke zu bieten – für Angreifer perfekt, um dort Backdoors zu verstecken. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/b7/62b73ef026d142356b893c09bb73bb71/0130515032v2.jpeg "Die Hackergruppe TeamPCP führte jüngst Supply‑Chain‑Angriffe auf Trivy und PyPI‑Pakete durch, um Zugangsdaten zu stehlen und Ransomware zu platzieren. (Bild: © Studenkova - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/0a/bd0ae1a9b1d3c11b964f6ef4c05fa928/0130637860v2.jpeg "Die Glassworm-Malware kompromittierte 151 GitHub-Repositories und verteilte Schadcode über vier Ökosysteme gleichzeitig und bedroht die globale Software-Supply-Chain. (Bild: © valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/b7/62b73ef026d142356b893c09bb73bb71/0130515032v2.jpeg "Die Hackergruppe TeamPCP führte jüngst Supply‑Chain‑Angriffe auf Trivy und PyPI‑Pakete durch, um Zugangsdaten zu stehlen und Ransomware zu platzieren. (Bild: © Studenkova - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/0a/bd0ae1a9b1d3c11b964f6ef4c05fa928/0130637860v2.jpeg "Die Glassworm-Malware kompromittierte 151 GitHub-Repositories und verteilte Schadcode über vier Ökosysteme gleichzeitig und bedroht die globale Software-Supply-Chain. (Bild: © valerybrozhinsky - stock.adobe.com)")