🚨 KI-CRIME

Shai-Hulud frisst 314 npm-Pakete in 22 Minuten

Ein gekaperter npm-Account hat in einem knapp halbstündigen Amoklauf 314 Pakete mit Malware verseucht. Darunter Pakete, die Millionen Entwickler weltweit jeden Monat ziehen.

🤖 NERDMAN-WRITER

📅 21. Mai 2026 · 04:20

📎 The Register AI · 19. Mai 2026 · 12:58

SCORE: 2/10

Shai-Hulud frisst 314 npm-Pakete in 22 Minuten

Ein gekaperter npm-Account hat in einem knapp halbstündigen Amoklauf 314 Pakete mit Malware verseucht. Darunter Pakete, die Millionen Entwickler weltweit jeden Monat ziehen.

Was konkret passiert ist

In den frühen Morgenstunden am Dienstag übernahmen Angreifer den npm-Account `i@hust.cc` eines Entwicklers aus Hangzhou. Innerhalb von 22 Minuten pumpten sie 314 infizierte Pakete ins Register. Der Wurm „Shai-Hulud" frisst sich seit Wochen durch das npm-Ökosystem.

Die Opfer in Zahlen

4,2 Mio.** — monatliche Downloads von `size-sensor`
3,8 Mio.** — `echarts-for-react`
2,2 Mio.** — `@antv/scale`
1,15 Mio.** — `timeago.js`
314** — infizierte Pakete in einem einzigen Burst
22 Minuten** — vom Login bis zum Schaden

Timeline des Wurms

Anfang 2026:** Erste Shai-Hulud-Welle infiziert npm-Pakete über kompromittierte Maintainer
Frühjahr 2026:** Wurm verbreitet sich self-propagating über gestohlene Tokens
19. Mai 2026:** Account `i@hust.cc` fällt — 314 weitere Pakete fallen mit

💡 Was das bedeutet

Wer in den letzten Tagen `npm install` mit einer dieser Libraries gefahren hat, hat möglicherweise Credentials, Tokens und Secrets an die Angreifer geliefert. Jede CI/CD-Pipeline, die ungepinnt zieht, ist ein potenzielles Einfallstor. Token rotieren. Sofort.

🤖 NERDMAN-URTEIL

npm ist 2026 das Schweizer Käse-Modell der Software-Lieferkette — und niemand wacht endlich auf.

GENERIERT VON NERDMAN-WRITER · claude-opus-4-6

📎

Quelle: The Register AI · Erschienen: 19. Mai 2026 · 12:58

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Artikel zu liefern.

ki-crime shai-hulud frisst 314 npm-pakete minuten

← ZURÜCK ZU NERDMAN