Miasma-Malware setzt npm-Supply-Chain-Welle fort — npm-Pakete und GitHub Actions im Visier

Kurzfazit
Forscher melden eine weitere Entwicklungsstufe der Supply-Chain-Angriffe rund um die Malware-Familie Mini Shai-Hulud / Miasma / Hades: Eine neue Welle kompromittierte npm-Pakete und nimmt GitHub Actions ins Visier. Der Vorfall reiht sich in eine anhaltende Serie von Angriffen auf die Software-Lieferkette ein.
Was ist passiert?
Sicherheitsforscher haben eine weitere Evolutionsstufe einer Supply-Chain-Angriffsserie markiert, die mit der Malware-Familie Mini Shai-Hulud / Miasma / Hades verknüpft ist. Die neue Miasma-Welle hat einen weiteren Satz npm-Pakete kompromittiert und nimmt zusätzlich GitHub Actions ins Visier — also die CI/CD-Automatisierung von Entwicklungsprojekten. Der Vorfall steht im Kontext einer anhaltenden Welle von Lieferketten-Angriffen; parallel laufen weitere Vorfälle wie der Klue-/Salesforce-Komplex (u. a. von LastPass bestätigt).
Warum ist das relevant?
Angriffe, die zugleich npm-Pakete und GitHub Actions treffen, zielen auf zwei besonders wirkmächtige Punkte: bösartige Abhängigkeiten verbreiten sich über viele Projekte, und kompromittierte CI/CD-Workflows können Secrets abgreifen oder Schadcode in Builds einschleusen. Da Miasma als wiederkehrende, sich weiterentwickelnde Familie auftritt, ist mit weiteren Wellen zu rechnen.
Betroffene Branchen und Technologien
Betroffen sind Entwicklungsorganisationen im npm-/GitHub-Ökosystem (Technologien it-saas und active-directory im Sinne von CI/CD- und Identitäts-/Secret-Verwaltung). Eine branchenspezifische Eingrenzung geht aus den Quellen nicht hervor.
Priorisierungssignale
- Doppelter Vektor: npm-Pakete UND GitHub Actions
- Wiederkehrende, sich entwickelnde Familie (Shai-Hulud/Miasma/Hades)
- CI/CD-Kompromittierung mit Secret-/Build-Risiko
- Anhaltende Supply-Chain-Welle
Defensive Empfehlungen
- Abhängigkeiten gegen die als kompromittiert gemeldeten npm-Pakete abgleichen und betroffene Versionen entfernen/zurückrollen.
- GitHub-Actions-Workflows härten: Pinning auf Commit-SHAs statt Tags, minimale Berechtigungen für Tokens, Review von Drittanbieter-Actions.
- CI/CD-Secrets rotieren, falls eine Kompromittierung nicht ausgeschlossen werden kann.
- Dependency-Pinning, Lockfiles und SBOM/SCA-Scans durchsetzen; Build-Logs auf anomale Schritte prüfen.
Quellenhinweise
Grundlage ist der Bericht von The Hacker News zur Miasma-/Shai-Hulud-/Hades-Welle; BleepingComputer ordnet parallel laufende Supply-Chain-Vorfälle (Klue/Salesforce, LastPass) ein.
Was Security-Teams jetzt prüfen sollten
- 1Abhängigkeiten gegen die als kompromittiert gemeldeten npm-Pakete abgleichen und betroffene Versionen entfernen/zurückrollen.
- 2GitHub-Actions-Workflows härten: Commit-SHA-Pinning, minimale Token-Rechte, Review von Drittanbieter-Actions.
- 3CI/CD-Secrets rotieren, falls eine Kompromittierung nicht ausgeschlossen werden kann.
- 4Dependency-Pinning, Lockfiles und SBOM/SCA-Scans durchsetzen.
- 5Build-Logs auf anomale Schritte und unerwartete Netzwerkzugriffe prüfen.
Betroffene Technologien
Quellenhinweise
Transparenz & Redaktion
- Analyse: SecBoard Research
- Redaktionell verantwortlich: Eike Fellgiebel
- KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
- Stand: 29. Juni 2026