{"id":6524,"date":"2026-01-12T14:27:39","date_gmt":"2026-01-12T14:27:39","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=6524"},"modified":"2026-01-12T14:27:39","modified_gmt":"2026-01-12T14:27:39","slug":"shai-hulud-co-die-supply-chain-als-achillesferse","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=6524","title":{"rendered":"Shai-Hulud & Co.: Die Supply Chain als Achillesferse"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?quality=50&strip=all 4096w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”auto, (max-width: 1024px) 100vw, 1024px”>Egal, ob React2Shell, Shai-Hulud oder XZ Utils: Die Sicherheit der Software-Supply-Chain wird durch zahlreiche Risiken gef\u00e4hrdet.\n

FAMArtPhotography \u2013 shutterstock.com<\/p>\n<\/div>\n

Heutige Anwendungen basieren auf zahlreichen Komponenten, von denen jede zusammen mit den Entwicklungsumgebungen selbst eine Angriffsfl\u00e4che darstellt. Unabh\u00e4ngig davon, ob Unternehmen Code intern entwickeln oder sich auf Drittanbieter verlassen, sollten CISOs, Sicherheitsexperten und Entwickler der Software-Supply-Chain besondere Aufmerksamkeit schenken.<\/p>\n

Zu den Risiken z\u00e4hlen zum Beispiel React2Shell, Shai-Hulud oder XZ Utils, alles Schwachstellen in der Software-Lieferkette, die im Kleinen angefangen haben und sp\u00e4ter massive Auswirkungen hatten. Shai-Hulud sticht dabei besonders heraus, es signalisiert das Ende der \u201epassiven \u00c4ra\u201d der Angriffe auf Lieferketten und den Beginn der \u201eaktiven Wurm\u201d-\u00c4ra. Diese Ver\u00e4nderung verspricht verheerende Folgen f\u00fcr Software-Pipelines. <\/p>\n

Traditionell waren Angriffe auf die Lieferkette passive Fallen. Ein Angreifer lud ein falsch geschriebenes Paket (Typosquatting) wie \u201ereqeusts\u201c anstelle von \u201erequests\u201c hoch, lehnte sich zur\u00fcck und wartete darauf, dass ein m\u00fcder Entwickler einen Fehler machte. Der Explosionsradius war linear und eher langsam.<\/p>\n

Mit Shai-Hulud wurden die Spielregeln ver\u00e4ndert, indem es eine wurm\u00e4hnliche Verbreitung einf\u00fchrte. Sobald es auf dem Rechner eines Entwicklers landet, sammelt es aktiv Anmeldedaten (NPM-Token, GitHub-Geheimnisse). Es nutzt diese gestohlenen Anmeldedaten, um infizierte Versionen anderer legitimer Pakete, die das Opfer verwaltet, automatisch zu ver\u00f6ffentlichen. Im Gegensatz zu Spyware, die verborgen bleiben will, enthalten Varianten von Shai-Hulud einen \u201eDead Man Switch\u201c. Wenn er feststellt, dass er blockiert oder analysiert wird, versucht er, das System des Opfers zu l\u00f6schen und dabei alle Spuren von sich selbst vollst\u00e4ndig zu entfernen.<\/p>\n

Das Ziel ist nicht mehr nur die Anwendung, sondern die Identit\u00e4t des Entwicklers und die automatisierten CI\/CD-Pipelines, die ihm implizit vertrauen. Was w\u00e4re nun, wenn die n\u00e4chste Variante des Shai-Hulud andere Code-Sprachen betrifft?<\/p>\n

Code-Sprachen als tickende Zeitbomben<\/h2>\n

Ein Beispiel daf\u00fcr w\u00e4re Python, sie ist die Sprache der KI und der Data Science. Die n\u00e4chste Evolutionsstufe des Supply-Chain-Wurms wird wahrscheinlich nicht nur AWS-Schl\u00fcssel stehlen, sondern auch den Aufstieg von KI-Codierungsassistenten nutzen.<\/p>\n

Sicherheitsforscher beobachten bereits \u201eHalluzinations-Hijacking\u201c, bei dem Angreifer Pakete registrieren, deren Existenz KI-Tools f\u00e4lschlicherweise vorhersagen. Ein Wurm im Stil von Shai-Hulud k\u00f6nnte den Laptop eines Data Scientists infizieren, dessen lokalen LLM-Chatverlauf nach privaten Paketnamen durchsuchen und automatisch b\u00f6sartige Versionen \u00f6ffentlich registrieren. Ein Wurm in diesem \u00d6kosystem w\u00fcrde nicht nur eine Website zum Absturz bringen, sondern k\u00f6nnte auch Finanzmodelle subtil vergiften, medizinische Forschungsdaten ver\u00e4ndern oder Backdoors in KI-Trainingssets von Unternehmen einbauen \u2013 Sch\u00e4den, die m\u00f6glicherweise jahrelang unentdeckt bleiben.<\/p>\n

Weitere Beispiele k\u00f6nnten die Code-Sprachen Java\/JVM oder Rust\/Go betreffen, auch hier w\u00e4ren die Auswirkungen katastrophal.<\/p>\n

Die Polyglot Supply-Chain-Attacke<\/h2>\n

Die erschreckendste Aussicht ist jedoch das Zusammentreffen dieser Bedrohungen in einer Polyglot-Supply-Chain-Attacke. Derzeit arbeiten Sicherheitsteams isoliert voneinander. AppSec \u00fcberwacht den Code, CloudSec \u00fcberwacht AWS, NetworkSec \u00fcberwacht den Perimeter. Ein Polyglot-Angriff ist darauf ausgelegt, diese Silos nahtlos zu durchbrechen.<\/p>\n

Dies geschieht folgenderma\u00dfen: Ein Wurm dringt \u00fcber eine Low-Level-JavaScript-Abh\u00e4ngigkeit in den Laptop eines Frontend-Entwicklers ein. Er erkennt, dass der Entwickler auch Zugriff auf das Backend-Rust-Repository des Unternehmens hat, stiehlt diese Anmeldedaten und injiziert b\u00f6sartige Build-Skripte in die Rust-CI-Pipeline. Die Rust-Pipeline stellt eine kompromittierte Bin\u00e4rdatei in einem Kubernetes-Cluster bereit.<\/p>\n

Der Angriff k\u00f6nnte in NPM beginnen, jedoch als kompilierte Bin\u00e4r-Backdoor in der produktiven Cloud-Infrastruktur enden. Das JavaScript-Sicherheitsteam wird ihn nicht entdecken, da er ihren Bereich sofort verlassen hat. Dem Cloud-Sicherheitsteam w\u00fcrde die Bedrohung ebenfalls nicht auffallen, da sie von einer vertrauensw\u00fcrdigen CI-Pipeline unter Verwendung g\u00fcltiger Anmeldedaten bereitgestellt wurde. Darauf m\u00fcssen sich CISOs einstellen und entsprechende Vorkehrungen treffen.<\/p>\n

Lesetipp: Wie Sie Ihre Software-Supply-Chain sch\u00fctzen<\/a><\/p>\n

Handlungsempfehlungen f\u00fcr CISOs<\/h2>\n

Handlungsempfehlungen f\u00fcr CISOs birgt der EU Cyber Resilience Act (CRA).<\/a> Er schreibt die Absicherung digitaler Produkte f\u00fcr Hersteller, Importeure und H\u00e4ndler vor, damit diese in sicheres Design bereits bei der Entwicklung, aber auch bei der Wartung investieren. Die dort formulierten Anforderungen m\u00fcssen schrittweise bis Ende 2027 umgesetzt werden und umfassen auch die Sicherheit vernetzter Hardware und Software durch die Behandlung von Schwachstellen und deren Ver\u00f6ffentlichung, beziehungsweise Meldung an die zust\u00e4ndigen Beh\u00f6rden. Dar\u00fcber hinaus m\u00fcssen die drei genannten Akteure in SBOMs<\/a> auch die Bestandteile der Software dokumentieren.<\/p>\n

Die nun in Kraft getretene NIS2<\/a>-Richtlinie enth\u00e4lt \u00e4hnliche Anforderungen f\u00fcr KRITIS-Betreiber, die im NIS2-Umsetzungsgesetz (NIS2UmsuCG) und im KRITIS-Dachgesetz in Bezug auf Produkte und Lieferanten festgehalten werden. Einen lesenswerten \u00dcberblick gibt OpenKRITIS<\/a>.<\/p>\n

Um sich vor Shai-Hulud und Co. zu sch\u00fctzen, sollten CISOs mit ihren Teams gemeinsam folgende Schritte umsetzen:<\/p>\n

Sie m\u00fcssen das \u201eimplizite Vertrauen\u201c in Identit\u00e4ten beenden<\/strong>. Bei den eingangs beschriebenen Szenarien um Shai-Hulud bestand das Problem darin, dass CI\/CD-Systemen zu oft blind vertraut wird. Deshalb sollten CISOs daf\u00fcr sorgen, dass ihre Teams einen kritischen Blick auf ihre Pipeline-Security werfen. CI\/CD-Systeme d\u00fcrfen nicht automatisch davon ausgehen, dass eine Aktivit\u00e4t legitim ist, nur weil sie mit einem g\u00fcltigen Entwickler-Token signiert wurde. Sie m\u00fcssen stattdessen den Identit\u00e4tsschutz priorisieren. Es wurde bereits beobachtet, dass Angreifer gezielt Anmeldedaten wie NPM-Token und GitHub-Geheimnisse stehlen, um infizierte Pakete automatisch zu ver\u00f6ffentlichen. Ma\u00dfnahmen zum Schutz dieser Identit\u00e4ten muss daher oberste Priorit\u00e4t einger\u00e4umt werden.<\/p>\n

Sicherheits-Silos sollten aufgel\u00f6st werden<\/strong>. Viele Security-Aspekte laufen immer noch nicht in einem \u00fcbergeordneten Management zusammen. Tools sowie Abteilungen der Application Security, Infrastructure Security, Cloud Security, Network Security und viele andere sorgen f\u00fcr zahlreiche Inseln im Meer der Security-Strategie. Sie alle m\u00fcssen noch enger zusammenarbeiten und vom CISO koordiniert werden. Ein zentrales Risiko stellt die bereits beschriebene Polyglot-Supply Chain-Attacke dar, die diese Silos nahtlos durchbricht. F\u00fcr CISOs gilt daher, ein abteilungs- und bereichs\u00fcbergreifendes Monitoring einzuf\u00fchren. Um die Gefahr nochmals zu verdeutlichen: Ein Angriff k\u00f6nnte bei einem JavaScript beginnen, sich \u00fcber Build-Skripte fortsetzen und als Backdoor in der Cloud enden. Oftmals herrscht keine integrierte Sichtbarkeit, um all das nachzuvollziehen. Das JavaScript-Team sieht den Angriff nicht mehr, sobald er seinen Bereich verl\u00e4sst, w\u00e4hrend das Cloud-Team der CI-Pipeline vertraut. CISOs m\u00fcssen deshalb Systeme etablieren, die den gesamten Pfad \u00fcber das Software Development zum Build bis zur Runtime hinweg \u00fcberwachen. Abhilfe schaffen SBOMs, in denen die gesamte verwendete Software dokumentiert wird.<\/p>\n

Auf aktive W\u00fcrmer vorbereiten und den Schutz von KI-Tools gew\u00e4hrleisten.<\/strong> F\u00fcr die Absicherung von KI-gest\u00fctzten Risiken, gilt es, das Highjacking von KI-Tools und deren Manipulation zu verhindern. Zahlreiche Softwareentwickler arbeiten mit diesen Werkzeugen, um ihre Software zu schreiben. Sicherheitsforscher beobachten bereits, dass Angreifer Pakete einsetzen, die KI-Tools halluzinieren lassen. Aktive W\u00fcrmer sind die n\u00e4chste Stufe von Bedrohungen. Die Security-Strategie sollte deshalb \u00fcber den Schutz vor Tippfehlern hinausgehen. Gef\u00e4hrdungen wie Shai-Hulud verbreiten sich wurm\u00e4hnlich und exponentiell. Manuelle Prozesse zur \u00dcberpr\u00fcfung von Paketen reichen bei dieser Geschwindigkeit nicht mehr aus. Diese Art von Supply-Chain-W\u00fcrmern verf\u00fcgt dar\u00fcber hinaus \u00fcber einen \u201eDead Man Switch\u201c, der das System des Opfers l\u00f6scht, wenn eine Analyse detektiert wird. CISOs sollten sicherstellen, dass Protokolle also auch au\u00dferhalb des Entwicklerrechners abgesichert werden, um bei einer forensischen Untersuchung die Spuren des Angriffs zu bewahren. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

srcset=”https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?quality=50&strip=all 4096w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=300%2C168&quality=50&strip=all 300w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=768%2C432&quality=50&strip=all 768w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=150%2C84&quality=50&strip=all 150w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=854%2C480&quality=50&strip=all 854w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=640%2C360&quality=50&strip=all 640w, https:\/\/b2b-contenthub.com\/wp-content\/uploads\/2026\/01\/shutterstock_2094512128.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”auto, (max-width: 1024px) 100vw, 1024px”>Egal, ob React2Shell, Shai-Hulud oder XZ Utils: Die Sicherheit der Software-Supply-Chain wird durch zahlreiche Risiken gef\u00e4hrdet. FAMArtPhotography \u2013 shutterstock.com Heutige Anwendungen basieren auf zahlreichen Komponenten, von denen […]<\/p>\n","protected":false},"author":0,"featured_media":6525,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-6524","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6524"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6524"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6524\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/6525"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6524"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6524"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6524"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}