Mit Shai-Hulud wurden die Spielregeln verändert, indem es eine wurmähnliche Verbreitung einführte. Sobald es auf dem Rechner eines Entwicklers landet, sammelt es aktiv Anmeldedaten (NPM-Token, GitHub-Geheimnisse). Es nutzt diese gestohlenen Anmeldedaten, um infizierte Versionen anderer legitimer Pakete, die das Opfer verwaltet, automatisch zu veröffentlichen. Im Gegensatz zu Spyware, die verborgen bleiben will, enthalten Varianten von Shai-Hulud einen „Dead Man Switch“. Wenn er feststellt, dass er blockiert oder analysiert wird, versucht er, das System des Opfers zu löschen und dabei alle Spuren von sich selbst vollständig zu entfernen.
Das Ziel ist nicht mehr nur die Anwendung, sondern die Identität des Entwicklers und die automatisierten CI/CD-Pipelines, die ihm implizit vertrauen. Was wäre nun, wenn die nächste Variante des Shai-Hulud andere Code-Sprachen betrifft?
Code-Sprachen als tickende Zeitbomben
Ein Beispiel dafür wäre Python, sie ist die Sprache der KI und der Data Science. Die nächste Evolutionsstufe des Supply-Chain-Wurms wird wahrscheinlich nicht nur AWS-Schlüssel stehlen, sondern auch den Aufstieg von KI-Codierungsassistenten nutzen.
