Die Supply-Chain-Kampagne Mini Shai-Hulud erreicht den Python Package Index. Manipulierte Wheels aktivieren über .pth-Dateien bei jedem Python-Start einen Bun-basierten Stealer, der Entwickler- und Cloud-Zugangsdaten abgreift. Die Gesamtkampagne umfasst 448 Artefakte über npm und PyPI, eine ähnliche Welle traf 73 Microsoft-Repositories auf GitHub.
Die Mini-Shai-Hulud-Kampagne erreicht mit der Miasma-Welle den Python Package Index. Manipulierte Wheels stehlen bei jedem Python-Start Cloud- und Entwicklerzugangsdaten.
(Bild: Gemini / KI-generiert)
Am 07.06.2026 dokumentiert das Sicherheitsunternehmen Socket eine neue Angriffswelle innerhalb der Kampagne Mini Shai-Hulud, intern auch als Miasma geführt. Der Schwerpunkt verlagert sich auf den Python Package Index. 37 bösartige Wheels über 19 Projekte kommen hinzu, womit die Gesamtkampagne 448 Artefakte über npm und PyPI umfasst. Davon zählen 411 Artefakte über 106 npm-Pakete. Die kompromittierten Releases stammen aus der Übernahme eines einzelnen Maintainer-Kontos, das aufeinanderfolgende Patch-Versionen quer durch sein Portfolio massenhaft veröffentlichte. Die größte Reichweite haben etablierte Bioinformatik-Tools wie dynamo-release, spateo-release und coolbox, dazu kommen die Spot-Detection-Pakete ufish und napari-ufish sowie kleinere Bibliotheken zur Task-Ausführung.
.pth-Zeilen lösen die Ausführung beim Python-Start aus
Das site-Modul von Python verarbeitet .pth-Dateien bei jedem Start des Interpreters. Beginnt eine Zeile mit dem Schlüsselwort import, führt der Interpreter sie aus. Die manipulierten Wheels legen eine Datei mit der Endung .pth ab, deren einzige Zeile beim nächsten Aufruf von Python, pip, einem Notebook-Kernel oder einem CI-Job aktiv wird. Eine Installation genügt, ein expliziter Import des Pakets ist nicht notwendig.
Die Startzeile prüft auf eine Markierungsdatei im temporären Verzeichnis. Fehlt diese Markierung, lokalisiert der Code die Datei "_index.js", lädt bei Bedarf die Bun-Runtime von GitHub herunter und startet den Schadcode über den Befehl "bun run". Eine angelegte Markierungsdatei verhindert eine wiederholte Ausführung. Python dient damit als Transportweg, der ausgeführte Stealer arbeitet unter Bun in stark obfuskiertem JavaScript. Die Schadroutine bringt die Bun-Runtime selbst mit und bleibt dadurch unabhängig von der lokal installierten Laufzeit.
Bun führt einen mehrschichtig verschlüsselten Stealer aus
Der entpackte Schadcode zeigt mehrere Schichten. Ein eval-Wrapper dekodiert ein langes Zeichencode-Array und wendet eine ROT-Substitution an. Die erste Stufe entschlüsselt zwei eingebettete AES-128-GCM-Blöcke und schreibt den Hauptcode in eine zufällig benannte Datei unter /tmp. Der Hauptcode arbeitet mit einer rotierten String-Tabelle, einem eigenen Decoder auf Basis von PBKDF2 und SHA256 sowie einer zusätzlichen Schicht aus AES-256-GCM und gzip.
Das Zielspektrum reicht von Anmeldedaten für GitHub, npm, PyPI, RubyGems und JFrog bis zu Tokens für CircleCI und Anthropic. Im Cloud-Bereich erfasst die Routine Zugangsdaten für Kubernetes-Service-Accounts, für AWS samt STS-Identität, SSM Parameter Store und Secrets Manager sowie Material aus dem GCP Secret Manager und dem Azure Key Vault. Auch Vault-Tokens, SSH-Schlüssel, Docker-Konfigurationen, Shell-Verläufe und lokale Dateien, darunter ".env", ".npmrc" und ".pypirc", gehören dazu. Hervorzuheben sind Konfigurationen für Claude und MCP, ein Hinweis auf die Ausweitung in KI-gestützte Entwicklungsumgebungen.
Für den Abfluss der Daten kombiniert der Schadcode mehrere Wege. Bestätigter Kanal ist GitHub. Der Code legt öffentliche Repositories über den Endpunkt "POST /user/repos" an und committet verschlüsselte Datenpakete unter Pfaden nach dem Muster "results/results-*.json". Parallel schreibt eine eingebettete Workflow-Logik Secrets in eine Datei und lädt ein Artefakt mit dem Namen "format-results" hoch, der zugehörige Workflow heißt "Run Copilot".
Daneben enthält der Schadcode einen direkten HTTPS-Sender an api.anthropic.com/v1/api. Der Endpunkt liefert sowohl bei GET als auch bei POST den Standard-404 von Anthropic und nimmt keine Daten an. Eine Kompromittierung von Anthropic-Systemen liegt nicht vor. Der Weg dient als Tarnung, denn Verkehr zu einem verbreiteten KI-Anbieter fällt im Netzwerk-Protokoll wenig auf. Die aktuelle Welle führt neue thematische Marker ein. Erzeugte Repositories erhalten die Beschreibung "Hades - The End for the Damned", der Commit-Marker lautet "IfYouYankThisTokenItWillNukeTheComputerOfTheOwnerFully". Generierte Repository-Namen greifen auf Begriffe der griechischen Unterwelt zurück, darunter "cerberus", "charon" und "styx".
Die PyPI-Welle ordnet sich in eine breitere Bewegung ein. Den Ausgangspunkt bildete Anfang Juni eine kompromittierte Sammlung von npm-Paketen aus dem Umfeld der Red Hat Cloud Services. Die Akteursgruppe TeamPCP setzt durchgängig auf dasselbe Vorgehen, das aus Installation und Start eine Stufe zur Codeausführung macht. Die Tragweite zeigt ein Vorfall vom 05.06.2026. Ein selbstreplizierender Wurm infizierte 73 GitHub-Repositories von Microsoft, unter anderem Bestände zu Azure und Azure-Samples. Ein manipulierter Commit im Repository Azure/durabletask wurde aktiv, sobald ein KI-gestütztes Entwicklungstool ihn öffnete. GitHub nahm die betroffenen Bestände binnen 105 Sekunden vom Netz, der Wurm zielte auf Cloud-Zugangsdaten für Kubernetes, AWS und GCP.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Hades-Welle verschiebt das Muster der Shai-Hulud-Familie vom npm-Installationshaken auf die Startmechanik von Python. Code-Ausführung zum Installations- und Startzeitpunkt bildet das gemeinsame Merkmal über npm, PyPI, Packagist und GitHub-Workflows hinweg. Die Indikatoren reichen von Dateinamen und Loader-Strings bis zu den GitHub-Markern der Kampagne.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/27/1d27ff268247ee0bdd2c49b708710553/0131834157v2.jpeg "Der Miasma-Wurm infiziert 73 Microsoft-GitHub-Repositories und startet Schadcode automatisch in KI-Coding-Tools. Microsoft sperrte die Repositories und warnt betroffene Kunden. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/12/ef/12ef0e2361d519f1c6330c9ce1a2ac9a/0131889170v1.jpeg "Neben Zielen in der Ukraine nehmen staatliche Hacker zunehmend auch die Energieversorgung in verbündeten Nachbarstaaten wie Polen ins Visier. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/44/83/4483aa0aeecb98d5ca0c81db0c777717/0131854750v2.jpeg "Mistral AI gilt als Europas Antwort auf digitale Souveränität im KI-Bereich und will Unternehmen Datenkontrolle und Unabhängigkeit von US-Recht bieten. Aktuelle Sicherheitsanalysen zeigen jedoch erhebliche Lücken, die eigene Schutzmaßnahmen erfordern. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/28/4628bb0c91fe652226a1d7af7be5db81/0131835804v2.jpeg "Fachkräftemangel und zunehmende Cyberbedrohungen überfordern viele IT-Abteilungen. Ein Managed SOC schließt diese Lücke und schützt Infrastrukturen rund um die Uhr. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/65/1c65a3f4e208b58636d8e392c72736f2/0130876458v1.jpeg "Anwender sind sich der Problematik der Datensouveränität durchaus bewusst, haben aber oft keine durchdachte Lösung. Das ergab eine Studie von Red Hat. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/93/47/9347017b11be4abd26b6641c3b36d7e8/0131821428v2.jpeg "Schadcode in Open-Source-Paketen läuft als legitimer Code und bleibt monatelang unentdeckt. Ein einziges kompromittiertes Paket kann tausende Unternehmen gleichzeitig treffen. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b8/48/b84864615be4c39d60b362d02ae2a0e4/0131407472v1.jpeg "Die T Cloud Pulic ist nun Bestandteil des Rahmenvertrags für Cloud- und KI-Lösungen für Behörden. Damit sollen langwierige Einzelvergaben entfallen. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/5d/45/5d457334dfe581150c0174eeff401aba/0131803117v2.jpeg "Die Schwachstelle CVE-2025-48595 erlaubt lokale Rechteausweitung auf allen aktuellen Android-Versionen. Googles Juni-Update schließt die aktiv ausgenutzte Lücke. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/61/0a/610a13004541d94603f357c25ff10033/0131829821v2.jpeg "Die Mini-Shai-Hulud-Kampagne erreicht mit der Miasma-Welle den Python Package Index. Manipulierte Wheels stehlen bei jedem Python-Start Cloud- und Entwicklerzugangsdaten. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b9/ce/b9ced00a70b5bba08e5ad078b22b8758/0131828356v2.jpeg "Die Oracle-WebLogic-Lücke CVE-2024-21182 erlaubt Datenzugriff ohne Anmeldung via T3 und IIOP. Über 1.500 Server sind fast zwei Jahre nach dem Patch noch anfällig. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/cb/67cb45f559ebb65b6989574c73c7e9a8/0131822268v2.jpeg "Fragmentierte IAM-Landschaften schaffen Angriffsflächen, die klassische Sicherheitsmaßnahmen nicht adressieren. Identity Fabric orchestriert bestehende Systeme und macht Zero Trust konsequent umsetzbar. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/71/66/71661611e59b8408605b7db7dcbec0e4/0131759983v2.jpeg "Die Hälfte der ISX-Tour ist geschafft: Nach München geht es jetzt weiter nach Hamburg und Düsseldorf. (Bild: Vogel-IT Akademie)")
:quality(80)/p7i.vogel.de/wcms/6e/82/6e82fdbb739cd087a830e083304efddd/0131257592v1.jpeg "Robert Frank von DigiCert skizziert in seinem Beitrag, warum die digitale Vertrauensinfrastruktur aus DNS und Public Key Infrastructure jetzt auf ein neues Fundament gestellt werden muss, und warum die nötigen Arbeiten sowohl organisatorisch dieselben Teams betreffen als auch in dieselbe Zeit fallen. (Bild: DigiCert)")
:quality(80)/p7i.vogel.de/wcms/94/c9/94c929ee55171c6dc4e20e0d1280875c/0131622653v1.jpeg "Wenn Unternehmen und IT-Dienstleister klare Strukturen schaffen und ihre Architekturen und Vertragswerke zukunftssicher aufzubauen, kann der EU-Digital-Omnibus zum Wettbewerbsvorteil werden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/ed/ed/ededae2833951bada9fcf41cabd46313/0131612903v2.jpeg "Die Malware Megalodon kompromittierte 5.561 GitHub-Repositories in sechs Stunden und griff AWS-, Google-Cloud- und Azure-Zugänge aus CI/CD-Pipelines ab. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/17/7017e8d76fa5797366a42e075a6411b4/0131054108v1.jpeg "Nach Shai-Hulud folgt „mini Shai-Hulud“. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b5/c6/b5c61e5f31b62d92c0f27faa46795cd0/0126861941v2.jpeg "Der Wurm „Shai-Hulud“ ist ein sich selbstverbreitender Supply-Chain-Schädling, der über kompromittierte Maintainer-Accounts in npm-Pakete eindringt, dort bösartigen Code einfügt und so automatisch weitere Pakete infiziert und neu veröffentlicht. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/62/b7/62b73ef026d142356b893c09bb73bb71/0130515032v2.jpeg "Die Hackergruppe TeamPCP führte jüngst Supply‑Chain‑Angriffe auf Trivy und PyPI‑Pakete durch, um Zugangsdaten zu stehlen und Ransomware zu platzieren. (Bild: © Studenkova - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/de/92/de92f58a279ad049bc265bade34417bd/0130135264v2.jpeg "Besonders GitHub ist von GlassWorm betroffen, da Angreifer den Schadcode in weit verbreitete Repositories einschleusen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/a5/a8a5af6e39b5ec4964d44eb86a657ad4/0131504173v2.jpeg "Die Hackergruppe TeamPCP schleust über ein gekapertes Maintainer-Konto Schadcode in AntV-npm-Pakete und stiehlt GitHub-Token aus CI/CD-Pipelines. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/27/1d27ff268247ee0bdd2c49b708710553/0131834157v2.jpeg "Der Miasma-Wurm infiziert 73 Microsoft-GitHub-Repositories und startet Schadcode automatisch in KI-Coding-Tools. Microsoft sperrte die Repositories und warnt betroffene Kunden. (Bild: Gemini / KI-generiert)")