Die letzte Woche geleakte **Shai-Hulud**-Malware wird nun in neuen Angriffen auf den **Node Package Manager (npm)**-Index ausgenutzt, wobei am Wochenende infizierte Pakete auftauchten. Ein Bedrohungsakteur, der unter dem Account *deadcode09284814* agiert, veröffentlichte vier bösartige Pakete auf npm. Eines dieser Pakete enthielt eine nicht-obfuskierte Version von **Shai-Hulud**, die auf Entwickleranmeldeinformationen, Geheimnisse, Kryptowährungs-Wallet-Daten und Kontoinformationen abzielte. Alle bösartigen Pakete waren darauf ausgelegt, sensible Informationen wie Anmeldeinformationen und Konfigurationsdateien zu exfiltrieren. Ein Paket ging noch weiter und verwandelte das kompromittierte System in einen Bot für Distributed Denial-of-Service (DDoS)-Angriffe. ### Typosquatting-Angriff Forscher von **OXsecurity**, einem Unternehmen, das sich auf Anwendungssicherheit spezialisiert hat, entdeckten diese bösartigen Uploads. Der Bedrohungsakteur setzte Typosquatting-Techniken ein und verwendete falsch geschriebene Namen, um **Axios**-Benutzer sowie einige generische Namen ins Visier zu nehmen: 1. **chalk-tempalte** – Shai-Hulud-Klon (Information Stealer) 2. **@deadcode09284814/axios-util** – Credential- und Cloud-Config-Stealer 3. **axois-utils** – Infostealer + persistentes DDoS-Botnet („phantom bot“) 4. **color-style-utils** – Basis-Infostealer, der auf Krypto-Wallets und IP-Informationen abzielt Laut den Forschern enthält das Paket *chalk-tempalte* einen Klon der **Shai-Hulud**-Malware, die zuvor der **TeamPCP**-Hacker-Gruppe zugeschrieben wurde, die für den jüngsten [Mini Shai-Hulud Software-Supply-Chain-Angriff](https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/) verantwortlich war. Die Malware tauchte letzte Woche auf **GitHub** auf, begleitet von einer angeblichen Nachricht von **TeamPCP**: „Here We Go Again - Let the Carnage Continue. A Gift from TeamPCP.“ Das Paket *chalk-tempalte* markiert den ersten dokumentierten Fall eines **Shai-Hulud**-Klons, der auf npm bereitgestellt wird. **OXsecurity** stellt jedoch fest, dass es sich um ein einfaches Beispiel handelt, im Wesentlichen eine unveränderte Kopie des geleakten Quellcodes ohne Schutzmaßnahmen. „Ein belastender Beweis dafür, dass es sich um einen anderen Akteur als **TeamPCP** handelt, ist, dass der **Shai-Hulud**-Malware-Code eine fast exakte Kopie des geleakten Quellcodes ist, ohne Obfuskationstechniken, was die endgültige Version visuell vom Original unterscheidet“, erklärt **OXsecurity**. Die Malware stiehlt Anmeldeinformationen, Geheimnisse, Krypto-Wallet-Daten und Kontoinformationen und exfiltriert diese zu einem Command-and-Control (C2)-Server unter 87e0bbc636999b[.]lhr[.]life. Die Code behält die **GitHub**-Veröffentlichungsfunktionalität bei und lädt gestohlene Anmeldeinformationen automatisch in öffentliche, automatisch generierte Repositories hoch. ### DDoS-Fähigkeiten Von den vier Paketen sticht *axois-utils* hervor, da es zusätzlich zu den für alle vier Pakete üblichen Informationsdiebstahlfunktionen auch DDoS-Fähigkeiten enthält. Das Paket unterstützt HTTP-, TCP- und UDP-Floods sowie TCP-Reset-Angriffe. Forscher deckten auch interne Verweise auf einen „phantom bot“ auf.  **DDoS-Angriffscode** *Quelle: OXsecurity* Die [Shai-Hulud-Kampagne](https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/) hat seit [September 2025](https://www.bleepingcomputer.com/news/security/self-propagating-supply-chain-attack-hits-187-npm-packages/) mehrere Iterationen durchlaufen und die Daten von Entwicklern kompromittiert, indem Malware in legitime Projekte eingeschleust wurde. Gestohlene Anmeldeinformationen für Konten mit Veröffentlichungsrechten wurden dann verwendet, um exfiltrierte Informationen in öffentlichen **GitHub**-Repositories preiszugeben. Diese Kampagnen wurden der **TeamPCP**-Hacker-Gruppe zugeschrieben. In einem früheren Bericht heißt es von **OXsecurity**, dass Bedrohungsakteure schnell den Malware-Quellcode kopierten und begannen, ihn zu modifizieren, um seine Fähigkeiten zu erweitern. Forscher raten Entwicklern, die infizierte npm-Pakete heruntergeladen haben, diese sofort zu entfernen und ihre Anmeldeinformationen und API-Schlüssel auf den betroffenen Systemen zu rotieren. **OXsecurity** berichtet, dass die vier Pakete eine kombinierte Download-Anzahl von 2.678 hatten.