SecBoard
HochBranchenlageScore: 10/100

Miasma-Malware setzt npm-Supply-Chain-Welle fort — npm-Pakete und GitHub Actions im Visier

29. Juni 2026
Miasma-Malware setzt npm-Supply-Chain-Welle fort — npm-Pakete und GitHub Actions im Visier

Kurzfazit

Forscher melden eine weitere Entwicklungsstufe der Supply-Chain-Angriffe rund um die Malware-Familie Mini Shai-Hulud / Miasma / Hades: Eine neue Welle kompromittierte npm-Pakete und nimmt GitHub Actions ins Visier. Der Vorfall reiht sich in eine anhaltende Serie von Angriffen auf die Software-Lieferkette ein.

Was ist passiert?

Sicherheitsforscher haben eine weitere Evolutionsstufe einer Supply-Chain-Angriffsserie markiert, die mit der Malware-Familie Mini Shai-Hulud / Miasma / Hades verknüpft ist. Die neue Miasma-Welle hat einen weiteren Satz npm-Pakete kompromittiert und nimmt zusätzlich GitHub Actions ins Visier — also die CI/CD-Automatisierung von Entwicklungsprojekten. Der Vorfall steht im Kontext einer anhaltenden Welle von Lieferketten-Angriffen; parallel laufen weitere Vorfälle wie der Klue-/Salesforce-Komplex (u. a. von LastPass bestätigt).

Warum ist das relevant?

Angriffe, die zugleich npm-Pakete und GitHub Actions treffen, zielen auf zwei besonders wirkmächtige Punkte: bösartige Abhängigkeiten verbreiten sich über viele Projekte, und kompromittierte CI/CD-Workflows können Secrets abgreifen oder Schadcode in Builds einschleusen. Da Miasma als wiederkehrende, sich weiterentwickelnde Familie auftritt, ist mit weiteren Wellen zu rechnen.

Betroffene Branchen und Technologien

Betroffen sind Entwicklungsorganisationen im npm-/GitHub-Ökosystem (Technologien it-saas und active-directory im Sinne von CI/CD- und Identitäts-/Secret-Verwaltung). Eine branchenspezifische Eingrenzung geht aus den Quellen nicht hervor.

Priorisierungssignale

  • Doppelter Vektor: npm-Pakete UND GitHub Actions
  • Wiederkehrende, sich entwickelnde Familie (Shai-Hulud/Miasma/Hades)
  • CI/CD-Kompromittierung mit Secret-/Build-Risiko
  • Anhaltende Supply-Chain-Welle

Defensive Empfehlungen

  • Abhängigkeiten gegen die als kompromittiert gemeldeten npm-Pakete abgleichen und betroffene Versionen entfernen/zurückrollen.
  • GitHub-Actions-Workflows härten: Pinning auf Commit-SHAs statt Tags, minimale Berechtigungen für Tokens, Review von Drittanbieter-Actions.
  • CI/CD-Secrets rotieren, falls eine Kompromittierung nicht ausgeschlossen werden kann.
  • Dependency-Pinning, Lockfiles und SBOM/SCA-Scans durchsetzen; Build-Logs auf anomale Schritte prüfen.

Quellenhinweise

Grundlage ist der Bericht von The Hacker News zur Miasma-/Shai-Hulud-/Hades-Welle; BleepingComputer ordnet parallel laufende Supply-Chain-Vorfälle (Klue/Salesforce, LastPass) ein.

Was Security-Teams jetzt prüfen sollten

  • 1Abhängigkeiten gegen die als kompromittiert gemeldeten npm-Pakete abgleichen und betroffene Versionen entfernen/zurückrollen.
  • 2GitHub-Actions-Workflows härten: Commit-SHA-Pinning, minimale Token-Rechte, Review von Drittanbieter-Actions.
  • 3CI/CD-Secrets rotieren, falls eine Kompromittierung nicht ausgeschlossen werden kann.
  • 4Dependency-Pinning, Lockfiles und SBOM/SCA-Scans durchsetzen.
  • 5Build-Logs auf anomale Schritte und unerwartete Netzwerkzugriffe prüfen.

Betroffene Technologien

it-saasactive-directory

Transparenz & Redaktion

  • Analyse: SecBoard Research
  • Redaktionell verantwortlich: Eike Fellgiebel
  • KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
  • Stand: 29. Juni 2026
Wie SecBoard arbeitet: Methodik & Quellen
#Supply Chain#npm#GitHub Actions#Miasma#Shai-Hulud#Hades#CI/CD