Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Hunderte npm-Pakete infiziert

- Warnmeldung

Ein sich schnell verbreitender Wurm infizierte bereits zahlreiche npm-Pakete. Eine weitere starke Verbreitung droht. Wer npm-Pakete nutzt, sollte rasch Sicherheits- und Gegenmaßnahmen ergreifen.
Malware Symbol mit Warnsymbol vor Code-Zeilen

© Adobe Stock

Weitere starke Verbreitung möglich

Medien berichten über eine weiterentwickelte Variante des Wurms Shai-Hulud 2.0, der bereits massenhaft npm-Pakete infiziert habe. Zuletzt sei die Zahl bei knapp 800 gelegen mit einer siebenstelligen Zahl monatlicher Downloads. Entsprechend groß sei die Gefahr einer starken Verbreitung infizierter Pakete.

Shai-Hulud 2.0 habe bereits über 27.000 Zugangsdaten erbeutet und sie veröffentlicht. Außerdem richte der Schad-Code sog. Backdoors auf infizierten Systemen ein, um zu einem späteren Zeitpunkt unbemerkt weitere Aktivitäten ausführen zu können.

Der Angriff betreffe Linux-, Windows- und macOS-Systeme und laufend entstünden neue Schaddateien. Die Angreifergruppierung sei bislang unklar, auch wenn die Vorgehensweise die der ersten Shai-Hulud-Version ähnele.

Diese aktuelle Infektionswelle wurde am 24. November 2025 entdeckt und sei eine Bedrohung für npm-Entwicklungsprojekte. Deshalb sollten Nutzende und Entwickelnde besonders aufmerksam sein und Gegenmaßnahmen ergreifen.

Eine erste Infektionswelle mit Shai-Hulud wurde bereits im September 2025 festgestellt. Damals waren mehr als 25.000 Repositorys betroffen.

npm ist ein Paketmanager für die JavaScript-Laufzeitumgebung Node.js. Die Firma npm, Inc. im kalifornischen Oakland entwickelt und betreibt ein Repository unter dem Namen npm Registry bzw. npm Open Source. In dem Repository werden Pakete bereitgestellt.

Empfehlungen

Beachten Sie folgende Empfehlungen:

  • Entfernen Sie den Inhalt aus dem npm-Cache.
  • Prüfen Sie GitHub- und CI/CD-Umgebungen auf neue Repositorys mit Shai-Hulud in der Beschreibung.
  • Entfernen Sie bekannte infizierte Pakete aus Ihrer Umgebung.
  • Automatische Paket-Updates sollten zunächst ausgeschaltet werden.
  • Erneuern Sie Zugangsdaten (z. B. npm-Token, SSH-Schlüssel, User-Name/Passwort).
  • Richten Sie Multi-Faktor-Authentifizierung ein.
  • Prüfen Sie mit den veröffentlichten Kompromittierungsindikatoren (IoC: Indicator of Compromise), ob Ihre Umgebungen betroffen sind.

Weitere Empfehlungen finden Sie in den unten verlinkten Berichten und Beiträgen.

Weitere Informationen