SlowMist: Projektteams sollten vor der neuesten Variante von NPM-Lieferkettenangriffen, Shai-Hulud 3, gewarnt sein.

Der Chief Information Security Officer von SlowMist Technology, 23pds, hat eine Sicherheitswarnung herausgegeben: Die neueste Variante des NPM-Lieferkettenangriffs „Shai-Hulud 3“ greift erneut an. Alle Projektparteien und Plattformen werden gebeten, auf Prävention zu achten. Zuvor könnte das mutmaßliche Leck des Trust Wallet API-Schlüssels durch den Shai-Hulud 2-Angriff verursacht worden sein. Shai-Hulud ist eine Reihe sich selbst verbreitender, wurmartiger Lieferkettenangriffe, die auf das NPM-Ökosystem abzielen und dazu verwendet werden, Entwickler-Zugangsdaten, Cloud-Schlüssel und Umgebungsgeheimnisse zu stehlen. Die neueste Variante (in der Community als Shai-Hulud 3 oder neue Mutation bezeichnet) wurde am 28. Dezember 2025 vom Aikido Security-Forscher Charlie Eriksen entdeckt. Derzeit ist die Verbreitung begrenzt und befindet sich möglicherweise nur in der Testphase.