Angebot für Mehrfachlizenz-Rabatt
Computersicherheit CrowdStrike, Shai-Hulud und das drohende Auslaufen des...

CrowdStrike, Shai-Hulud und das drohende Auslaufen des CISA 2015: Warum die USA angesichts von Angriffen auf die Software-Lieferkette nicht schlafen können

Von Sandos in Computersicherheit
Übersetzen Sie in:

Fragile Ketten treffen auf fragile Gesetze

Die Sicherheitsschlagzeilen des Jahres 2025 wurden von Ransomware-Banden, KI-gesteuerten Cyberbedrohungen und geopolitischen Hackerangriffen dominiert. Doch der leisere, heimtückischere Trend zeigt sich in den Lieferketten der Open-Source-Welt – insbesondere im npm-JavaScript-Ökosystem.

Die jüngste Angriffswelle, die unter dem Namen „Shai-Hulud“ zusammengefasst ist, hat Dutzende von npm-Paketen kompromittiert, darunter auch solche, die unter dem CrowdStrike-Namespace veröffentlicht wurden. Allein diese Tatsache sollte die Alarmglocken läuten lassen: Wenn Angreifer Pakete eines der weltweit bekanntesten Anbieter von Cybersicherheitslösungen kompromittieren können, steht das Vertrauen in das Software-Ökosystem auf dem Spiel.

Und all dies geschieht vor einem kritischen politischen Hintergrund: dem bevorstehenden Auslaufen des Cybersecurity Information Sharing Act von 2015 (CISA 2015) Ende September. CISA 2015 bildet die Grundlage für einen Großteil des freiwilligen, haftungsgeschützten Austauschs von Gefährdungsindikatoren (IOCs) zwischen dem privaten Sektor und Bundesbehörden. Sollte der CISA 2015 auslaufen, müssten die USA Angriffen im Stil von Shai Hulud mit gefesselten Händen begegnen.

Die Shai-Hulud-Kampagne: Anatomie eines Supply-Chain-Angriffs

1. Erster Kompromiss

Die Angreifer infiltrierten npm-Konten, die mit legitimen Paketen verknüpft waren (einige gehörten einzelnen Betreuern, andere unter organisatorischen Namespaces). Indem sie die package.json modifizierten und eine schädliche Datei namens bundle.js einbetteten, infizierten sie ansonsten vertrauenswürdige Projekte mit einem Trojaner.

2. Nutzlast: Das Bundle.js-Implantat

Bei dem Implantat handelt es sich nicht um subtile „Script-Kiddie“-Malware. Es führt eine Reihe präziser, automatisierter Aufgaben aus:

  • Token-Ernte : Durchsucht die Hostumgebung nach Geheimnissen wie NPM_TOKEN , GITHUB_TOKEN , AWS_ACCESS_KEY_ID und AWS_SECRET_ACCESS_KEY .
  • Tool-Bereitstellung : Lädt TruffleHog herunter und führt es aus, ein Open-Source-Dienstprogramm, das normalerweise zum Scannen von Repositories nach kompromittierten Geheimnissen verwendet wird. Hier wird es offensiv für die Durchsuchung lokaler Systeme eingesetzt.
  • Überprüfung : Validiert gesammelte Token durch Ausführen einfacher API-Anfragen, um zu bestätigen, welche Anmeldeinformationen aktiv sind.
  • Persistenz über CI/CD : Erstellt oder ändert .github/workflows -Verzeichnisse, um schädliche GitHub Actions-Workflows einzufügen – oft mit den Namen shai-hulud.yaml oder shai-hulud-workflow.yml . Diese Workflows können bei zukünftigen CI/CD-Läufen Geheimnisse erneut exfiltrieren.
  • Exfiltration : Sendet die gestohlenen Anmeldeinformationen und Ergebnisse an fest codierte Webhook-Endpunkte, die häufig über eine Einweginfrastruktur gesteuert werden.

    • 3. Vermehrung

    Da npm-Pakete eng miteinander verknüpft sind, kann bereits eine einzige Kompromittierung zahlreiche Folgen haben. Die schädlichen Versionen wurden in npm-Registries hochgeladen und automatisch an Entwickler verteilt, die Abhängigkeiten aktualisiert oder installiert hatten. Das bedeutet, dass Tausende von nachgelagerten Projekten versehentlich vergifteten Code abgezogen haben könnten.

    Der Tinycolor-Vorfall Anfang September verdeutlicht das Risiko. Diese Bibliothek ( @ctrl/tinycolor ) wird wöchentlich millionenfach heruntergeladen. Als sie mit der Shai-Hulud-Nutzlast kompromittiert wurde, wurden mehr als 40 nachgelagerte Pakete infiziert.

    4. CrowdStrike-Namespace-Verletzung

    Die alarmierendste Entdeckung war, dass auch unter dem npm-Namespace @crowdstrike veröffentlichte Pakete kompromittiert wurden. Socket.dev identifizierte Dutzende von vergifteten Versionen, von denen einige zwischen dem 14. und 16. September 2025 in einem schnellen Ausbruch veröffentlicht wurden.

    Obwohl es keine Beweise dafür gibt, dass die interne Infrastruktur von CrowdStrike angegriffen wurde, sind die Auswirkungen auf den Ruf und das System gravierend:

    • Entwickler erwarten, dass Anbieter-Namespaces wie @crowdstrike wasserdicht sind.
    • Ein vergifteter Namespace untergräbt nicht nur das Vertrauen in den Anbieter, sondern auch in npm selbst.
    • Den Gegnern war die symbolische und praktische Bedeutung eines solchen Kompromisses klar.

    Technische Indikatoren und Beobachtungen

    Um dies weiter zu untermauern, ergaben sich aus der Analyse der Shai-Hulud-Pakete die folgenden technischen Merkmale:

    • Schädliche Dateien : bundle.js , index.js (geändert, um Bundle aufzurufen), eingefügte Workflow-Dateien in .github/workflows/ .
    • Workflow-Nutzdaten : Enthalten normalerweise Schritte zum Curlen von Geheimnissen und zum POST an Angreifer-Webhooks.
    • Hash-Wiederverwendung : Identische SHA-256-Hashes von bundle.js Dateien über mehrere Pakete hinweg, was die Kampagnenkoordination bestätigt.
    • Exfiltrationsendpunkte : Auf Standardplattformen gehostete Webhooks (z. B. Discord, eingehende Slack-Webhooks oder temporäre Cloud-Dienste).
    • Veröffentlichungsmuster : Innerhalb von Minuten werden Dutzende von Paketversionen veröffentlicht, was eher mit automatisierten Tools als mit manueller Veröffentlichung übereinstimmt.

      • Bei diesen Indikatoren handelt es sich nicht nur um forensische Kleinigkeiten. Sie verdeutlichen die Automatisierung und Disziplin des Gegners – diese Kampagne war auf Skalierung und nicht auf Experimente ausgelegt.

      Warum Angriffe auf die Lieferkette so gefährlich sind

      Angriffe auf die Lieferkette umgehen den äußeren Perimeter. Anstatt Firewalls zu durchbrechen, gelangen sie in die vertrauenswürdigen Software-Updates und Bibliotheken, auf die sich Unternehmen täglich verlassen.

      • Ausmaß der Reichweite : Die Gefährdung eines einzelnen npm-Pakets wie tinycolor oder eines Organisationsnamespace wie @crowdstrike kann Tausende nachgelagerte Systeme gefährden.
      • Vertrauensentführung : Entwickler vertrauen Paketmanagern grundsätzlich; vergiftete Updates werden automatisch installiert.
      • Heimlichkeit und Persistenz : Durch die Einbettung bösartiger GitHub Actions-Workflows sorgt der Angreifer für eine wiederholte Exfiltration, selbst nachdem die ursprüngliche bösartige Version entfernt wurde.

      Aus diesem Grund sind Angriffe wie Shai-Hulud von strategischer Bedeutung: Sie verwandeln die Mechanismen der modernen Softwareentwicklung – Paketmanager, CI/CD-Pipelines, Open-Source-Abhängigkeiten – in Angriffsflächen.

      Warum das Auslaufen des CISA 2015 die Risiken erhöht

      Die Rolle von CISA 2015

      Der Cybersecurity Information Sharing Act von 2015 schuf Rahmenbedingungen für private Unternehmen, um Bedrohungsindikatoren ohne Haftung mit dem DHS (und später CISA) zu teilen. Seine Ziele:

      • Fördern Sie den schnellen Austausch von IOCs zwischen den Sektoren.
      • Sorgen Sie für Haftungsschutz für Unternehmen, die in gutem Glauben Indikatoren offenlegen.
      • Standardisieren Sie technische Formate (STIX/TAXII) für den maschinenlesbaren Austausch.

      Risiken des Ablaufs

      Wenn das Gesetz Ende September außer Kraft tritt:

      1. Reduzierte Weitergabe : Von Shai-Hulud betroffene Betreuer, Register und Anbieter zögern möglicherweise, Einzelheiten preiszugeben, weil sie Klagen oder regulatorische Rückschläge befürchten.
      2. Fragmentierte Reaktion : Ohne bundesweite Koordinierung bleiben Informationen über laufende Angriffe bei einzelnen Anbietern oder Forschern isoliert.
      3. Langsamere Abwehr : Bei Angriffen auf die Lieferkette ist Zeit entscheidend. Ohne das CISA-Framework könnte die Verzögerung zwischen Entdeckung und Abwehr durch die Community gefährlich groß werden.
      4. Vertrauensverlust : Die Open-Source-Community ist bereits durch den CrowdStrike-Namespace-Kompromittierung erschüttert und könnte, wenn es keine starke, koordinierte Reaktion von Bund und Ländern auf die zentralen Register gibt, noch weniger Vertrauen in sie hegen.

      Empfehlungen für Politik und Industrie

      1. Sofortige gesetzgeberische Maßnahmen

      Der Kongress sollte CISA 2015 vor Ende September erneuern oder verlängern . Andernfalls würde dies den Gegnern signalisieren, dass sich die USA angesichts der zunehmenden Cyberrisiken selbst schwächen.

      2. Registry-Härtung

      npm, PyPI, RubyGems und andere Register benötigen stärkere Sicherheitsvorkehrungen:

      • Obligatorische Multi-Faktor-Authentifizierung für Herausgeber.
      • Automatische Anomalieerkennung für ungewöhnliche Veröffentlichungsspitzen.
      • Code-Signierung für veröffentlichte Pakete.
      • In CI/CD-Systeme eingebettete Paketherkunftsprüfungen .

      3. Schutz des Anbieter-Namespace

      Anbieter wie CrowdStrike sollten Folgendes berücksichtigen:

      • Private Spiegel öffentlicher Pakete, um Unternehmen vor manipulierten Versionen zu schützen.
      • Kontinuierliche Überwachung auf Namespace-Hijacking.
      • Öffentlich bekannt gegebene „bekannt gute“ Hashes für jede Version.

      4. Prüfungen im privaten Sektor

      Organisationen sollten:

      • Befestigen Sie Abhängigkeiten an festen Versionen.
      • Überprüfen Sie CI/CD-Workflows auf nicht autorisierte Änderungen.
      • Rotieren Sie Anmeldeinformationen (npm-Token, GitHub-Token, Cloud-Schlüssel) sofort, wenn sie offengelegt werden.

      5. Zusammenarbeit zwischen Staat und Privatwirtschaft

      Auch wenn das KAG vorübergehend außer Kraft tritt, müssen Ad-hoc-Strukturen die Lücke füllen:

      • Gemeinsame Hinweise zwischen CISA, Socket.dev, GitHub und npm.
      • Echtzeit-Feeds bösartiger Hashes und Endpunkte.
      • Finanzielle und technische Unterstützung für Open-Source-Betreuer (oft unbezahlte Freiwillige).

      Fazit: Eine Kollision der Schwächen

      Die Shai-Hulud-Kampagne beweist, dass Angriffe auf die Lieferkette keine Randfälle mehr sind – sie werden zu einer Standardtaktik der Gegner. Die Kompromittierung von Paketen im CrowdStrike-Namespace unterstreicht, wie fragil das Vertrauen in das Ökosystem geworden ist.

      Und gerade wenn diese Bedrohung eskaliert, könnten die USA das CISA 2015 auslaufen lassen und damit das rechtliche Gerüst zerstören, das den Informationsaustausch und eine schnelle Reaktion ermöglicht.

      Die Lehre daraus ist eindeutig: Ohne eine Erneuerung der Gesetzgebung und eine Reform der Branche laufen die USA Gefahr, in die bisher gefährlichste Ära der Kompromittierung von Softwarelieferketten einzutreten – eine Ära, in der die Gegner sowohl technische Schwachstellen als auch politische Lücken ausnutzen.

      Kurz gesagt: fragiler Kodex + fragiles Recht = nationales Risiko.

      Wird geladen...