Eine heimliche Malware-Kampagne namens "Shai-Hulud" infiltriert Entwickler-Pipelines und stellt eine erhebliche Bedrohung für Krypto-Wallets und Cloud-Zugangsdaten dar. Forscher haben etwa 320 bösartige Pakete in den NPM- und PyPI-Repositorien identifiziert, die zusammen über 518 Millionen monatliche Downloads ausmachen. Die Malware nutzt automatisierte Toolchains aus, indem sie sich in vertrauenswürdige Pakete und Build-Pipelines einschleust, was die Erkennung erschwert, bis Schaden entsteht. Zu den jüngsten Vorfällen gehört die Einschleusung von bösartigem Code in ein Mistral AI-Paket auf PyPI sowie Infektionen von Geräten von OpenAI-Mitarbeitern, die kurzzeitig interne Code-Repositorien offenlegten. Die Kampagne, die mit der Cyberkriminellen-Gruppe TeamPCP in Verbindung steht, hat auch TanStack, ein beliebtes JavaScript-Framework, ins Visier genommen. Sicherheitsfirmen berichten, dass Nachahmer-Pakete im Umlauf sind, die Cloud- und Krypto-Wallet-Zugangsdaten stehlen und Maschinen in DDoS-Botnets rekrutieren. Experten warnen, dass die Angriffsfläche für Blockchain- und Krypto-Projekte Entwicklergeräte und CI/CD-Systeme umfasst. Empfohlene Abwehrmaßnahmen sind strengere Abhängigkeitskontrollen, stärkere Veröffentlichungs-Sicherheitsvorkehrungen und automatisierte Scans nach bösartigen Paketen. Die Shai-Hulud-Kampagne unterstreicht die Notwendigkeit robuster Sicherheitsmaßnahmen in Entwickler-Pipelines, um kompromittierte Gelder zu schützen.