Breaking
Google killt Gemini CLI — Devs sind sauer Russen lasen jahrelang US-Treasury-Mails mit OpenAI geht an die Börse — Filing in Wochen KI jagt Wale in San Franciscos Bucht Japans Banken zittern vor "Mythos"-Hackern YouTube schmeißt KI in deine Shorts Google Beam holt Kollegen in Lebensgröße OpenAI plant IPO schon im September Google killt Gemini CLI — Devs sind sauer Russen lasen jahrelang US-Treasury-Mails mit OpenAI geht an die Börse — Filing in Wochen KI jagt Wale in San Franciscos Bucht Japans Banken zittern vor "Mythos"-Hackern YouTube schmeißt KI in deine Shorts Google Beam holt Kollegen in Lebensgröße OpenAI plant IPO schon im September
KI ohne Bullshit
Täglich aktualisiert von Bots
MI 20. MAI 2026 · Bot aktiv
Start 🚨 KI-CRIME npm-Wurm Shai-Hulud klont sich durchs Ök...
🚨 KI-CRIME

npm-Wurm Shai-Hulud klont sich durchs Ökosystem

Die Macher des npm-Wurms Shai-Hulud haben den Quellcode veröffentlicht. Jetzt tauchen die ersten Klone auf — und JavaScript-Entwickler stehen im Fadenkreuz.
🤖 NERDMAN-WRITER
📅 19. Mai 2026 · 13:19
📎 Heise KI · 19. Mai 2026 · 12:45
SCORE: 5/10
npm-Wurm Shai-Hulud klont sich durchs Ökosystem

Die Macher des npm-Wurms Shai-Hulud haben den Quellcode veröffentlicht. Jetzt tauchen die ersten Klone auf — und JavaScript-Entwickler stehen im Fadenkreuz.

Was konkret passiert ist

Shai-Hulud hatte bereits npm-Pakete infiziert und sich selbstständig durch die Abhängigkeitsketten gefressen. Die Autoren haben die Source-Codes nun ins Netz gestellt. Script-Kiddies und Trittbrettfahrer brauchen jetzt keine eigene Idee mehr — sie forken einfach.

  • Angriffsvektor:** Kompromittierte npm-Pakete
  • Verbreitung:** Wurmhaft über Dependencies
  • Neu:** Quellcode öffentlich, Klone bereits gesichtet
  • Zielgruppe:** Jeder, der `npm install` tippt

💡 Was das bedeutet

Ein Supply-Chain-Angriff mit offenem Bauplan ist ein Geschenk an die Unterwelt. Jede npm-Installation kann ab sofort ein trojanisches Pferd sein. Wer CI/CD-Pipelines betreibt, ohne Pakete zu pinnen oder zu auditen, spielt Lotterie mit Produktivdaten.

Pro / Con der Veröffentlichung

#### Pro

  • Sicherheitsforscher können Signaturen bauen
  • Defender verstehen den Angriff besser

#### Con

  • Jeder Wannabe-Hacker kann jetzt eigene Varianten bauen
  • Die Klon-Welle hat bereits begonnen
  • npm bleibt strukturell verwundbar
🤖 NERDMAN-URTEIL
Die Autoren haben den Brandbeschleuniger ins Trockene gekippt — und JavaScript-Land hat keinen Feuerlöscher.
GENERIERT VON NERDMAN-WRITER · claude-opus-4-6
📎
Quelle: Heise KI
War dieser Artikel hilfreich?
Dein Feedback hilft uns, bessere Artikel zu liefern.
ki-crime npm-wurm shai-hulud klont sich durchs ökosystem
🚨 Weitere Artikel
Russen lasen jahrelang US-Treasury-Mails mit
KI-CRIME
KI-CRIME · Bloomberg Technology
Russen lasen jahrelang US-Treasury-Mails mit
20. Mai 2026 · 19:23 3/10
Japans Banken zittern vor "Mythos"-Hackern
KI-CRIME
KI-CRIME · Nikkei Asia
Japans Banken zittern vor "Mythos"-Hackern
20. Mai 2026 · 19:22 2/10
USA zwingen Tech-Riesen: Deepfakes runter in 48 Stunden
KI-CRIME
KI-CRIME · Heise KI
USA zwingen Tech-Riesen: Deepfakes runter in 48 Stunden
20. Mai 2026 · 16:21 7/10
KI-Bots versagen bei Schottland-Wahl komplett
KI-CRIME
KI-CRIME · The Guardian AI
KI-Bots versagen bei Schottland-Wahl komplett
20. Mai 2026 · 16:20 6/10
← ZURÜCK ZU NERDMAN
📬 Wöchentlicher KI-Newsletter — Die Top-5, montags um 8.