22 MINUTEN — 323 Pakete
Am 19. Mai 2026 hat TeamPCP die zweite grosse Welle der Mini-Shai-Hulud-Kampagne gefahren. Ziel: das @antv-Ökosystem auf npm. In nur 22 Minuten wurden über 300 schädliche Paket-Versionen in 323 Paketen veröffentlicht — vollautomatisch, mit Wurm-Logik, ausgehend von einem kompromittierten Maintainer-Account.
Die antv-Familie umfasst Datenvisualisierungs-Bibliotheken wie G2, G6, X6 und AVA. Wer Frontend-Charting-Stacks baut oder als Backend-Entwickler Telemetry-Dashboards generiert, hat hohe Wahrscheinlichkeit, dass diese Pakete im Dependency-Tree liegen.
SO neu ist die Variante
Der Knaller: erstmals trägt der Wurm gültige SLSA-Build-Level-3-Provenance-Attestate. Das macht ihn zum ersten dokumentierten npm-Wurm, der valide signierte Schad-Pakete produziert. SLSA-Provenance ist eigentlich genau das Schutzschild, das gegen so etwas wirken soll — und genau diese Mauer wurde mit einer neuen Initial-Access-Technik umgangen.
Die Folge: Tools, die nur auf „valide SLSA-Provenance“ prüfen, lassen die Pakete durch. Wer ehrlich Lieferketten-Sicherheit will, muss tiefer prüfen — und nicht nur Signaturen, sondern auch Publish-Frequenz und Maintainer-Verhalten.
SO erkennst du, ob du betroffen bist
- Lock-File-Scan:
grep "@antv/" package-lock.jsonoder das pnpm/yarn-Äquivalent - Versions-Range prüfen: Pinnst du auf eine konkrete Version oder erlaubst Caret-Ranges? Caret-Ranges sind das Problem
- CI/CD-Audit: Wurden in den letzten Tagen automatisch npm install gelaufen?
- Token-Audit: Sind in den potenziell kompromittierten Pipelines geheime Tokens (AWS, GitHub, npm-Publish) gelagert?
Die Snyk-Datenbank und npm-Audit haben Erkennungs-Regeln für die Mini-Shai-Hulud-IOCs. Aktualisiere deinen Scanner auf den neuesten Feed und lass ihn über deine Workloads laufen.
SO schützt du DEINEN Stack
- Hard-Pinning: Statt
"@antv/g2": "^5.2.0"setze"@antv/g2": "5.2.0"— exakte Versionen - npm install –ignore-scripts in CI verwenden — verhindert die Hauptangriffsfläche von Lifecycle-Scripts
- Isolierte CI-Runner ohne dauerhaft eingebettete Credentials — Secrets via OIDC, Just-in-Time
- Dependabot/Renovate mit Approval-Schritt vor Auto-Merge — nicht blind Versionen aufnehmen
- SBOM-Diffing: bei jedem Build die Software-Bill-of-Materials gegen Vortags-Stand vergleichen
WAS bedeutet das für die ganze npm-Welt?
Mini Shai-Hulud läuft seit dem 29. April 2026 in mehreren Wellen. Antv ist nicht die erste Familie (TanStack im Mai, SAP-Pakete im Mai, pgserve-Variante im Mai) und wird nicht die letzte sein. Die Skalierung beunruhigt: einzelne Maintainer-Accounts dienen als Hebel für hunderte Pakete in Minuten.
npm selbst, GitHub und die SLSA-Community arbeiten an besseren Reaktions-Mechanismen. Bis dahin gilt: jeder Dependency-Tree ist ein Angriffsvektor. Wer keine Verteidigung in der Lieferkette hat, hat keine Verteidigung.
Häufige Fragen
Wenn ich @antv/g2 nutze, ist mein Build kompromittiert?
Reichen npm audit und npm-Provenance-Checks?
Was ist die langfristige Lösung gegen solche Wellen?
Quellen: Snyk Mini Shai-Hulud antv · Microsoft Security Blog · CybersecurityNews Mini Shai-Hulud