GhostAd und Shai-Hulud 2.0: Check Point deckt Adware-Kampagne auf und analysiert npm-Angriff
Check Point-Forscher haben zwei großangelegte Bedrohungen identifiziert: Eine Adware-Kampagne auf Google Play mit Millionen Downloads und einen aggressiven Supply-Chain-Angriff auf das npm-Ökosystem.
Das Sicherheitsunternehmen Check Point Software Technologies hat gleich zwei bedeutende Cyberbedrohungen aufgedeckt. Während die eine Kampagne Android-Nutzer über scheinbar harmlose Apps im Google Play Store angreift, zielt die andere auf Entwickler und kompromittiert das npm-Ökosystem in bisher ungekanntem Ausmaß.
GhostAd: Millionen Android-Geräte von Adware befallen
Laut Check Point haben Forscher des Harmony Mobile Detection Teams ein Netzwerk von Android-Anwendungen im Google Play Store identifiziert, die sich als nützliche Werkzeuge und Emoji-Editoren tarnten. Die als „GhostAd“ bezeichnete Kampagne umfasste auf ihrem Höhepunkt mindestens 15 verwandte Apps, von denen fünf zu Beginn der Untersuchung noch im Play Store verfügbar waren.
Die betroffenen Anwendungen erreichten zusammen mehrere Millionen Downloads. Eine der Apps schaffte es sogar auf Platz zwei der „Top Free Tools“-Kategorie im Google Play Store. Die Hauptzielgruppe der Kampagne waren Nutzer in Ost- und Südostasien, insbesondere auf den Philippinen, in Pakistan und Malaysia.
Die Schadsoftware etabliert sich durch einen sogenannten Foreground Service, der kontinuierliche Ausführung garantiert – selbst wenn Nutzer die App schließen oder das Gerät neu starten. Um den Android-Anforderungen zu entsprechen, zeigt der Service eine leere, nicht entfernbare Benachrichtigung an, die technisch legitim ist, aber praktisch unsichtbar bleibt.
Zur Verstärkung nutzen die Apps einen JobScheduler, der alle paar Sekunden Werbeladeaufgaben neu startet. Selbst wenn Android den Service beendet, startet der Scheduler ihn nahezu sofort neu und sorgt so für ununterbrochene Werbeanfragen, schreibt Check Point in seinem Blog. Die Apps integrieren mehrere legitime Werbe-SDKs wie Pangle, Vungle, MBridge, AppLovin und BIGO, verwenden diese jedoch in einer Weise, die gegen Fair-Use-Richtlinien verstößt. Statt auf Nutzerinteraktion zu warten, laden, reihen und aktualisieren die Anwendungen kontinuierlich Werbung im Hintergrund.
Die permanente Hintergrundaktivität führe zu erheblichen Beeinträchtigungen: Akkuentladung, reduzierte Geräteleistung und erhöhter Datenverbrauch. Nutzerrezensionen bestätigen die Probleme. „Es ist die schlimmste App, die ich je benutzt habe – sie stört meine Privatsphäre und übernimmt andere Apps für Werbung“, zitiert Check Point einen Nutzer.
Nach der Benachrichtigung durch Check Point bestätigte Google die Entfernung aller identifizierten Apps aus dem Play Store. Google Play Protect, das standardmäßig auf Android-Geräten mit Google Play Services aktiviert ist, deaktiviert die Apps automatisch für Nutzer, die sie installiert haben.
Shai-Hulud 2.0: Massive Kompromittierung des npm-Ökosystems
Parallel dazu hat der Sicherheitsanbieter eine der umfangreichsten npm-Supply-Chain-Attacken der letzten Jahre analysiert. Zwischen dem 21. und 23. November 2025 kompromittierten Angreifer innerhalb weniger Stunden Hunderte von npm-Paketen und mehr als 25.000 GitHub-Repositories, wie das Unternehmen am 26. November mitteilte.
Im Gegensatz zu herkömmlicher Malware missbraucht die Shai-Hulud-2.0-Kampagne das npm-Preinstall-Lifecycle-Skript. Dadurch werden schädliche Payloads bereits vor Abschluss der Installation ausgeführt – sogar dann, wenn die Installation selbst fehlschlägt.
Angriffsmechanismus und Datenexfiltration
Die Infektion beginnt mit vertrauenswürdigen oder ähnlich aussehenden npm-Paketen, die entweder gekapert oder böswillig veröffentlicht wurden. Sobald ein Entwickler ein betroffenes Paket installiert, wird der bösartige Code während des Vorinstallationsschritts ausgeführt, erläutert Check Point.
Die Nutzlast besteht aus zwei Hauptkomponenten: setup_bun.js installiert die Bun-Laufzeitumgebung, während bun_environment.js die bösartige Kernlogik ausführt. Die Verwendung von Bun statt Node.js ist laut Check Point eine absichtliche Umgehungstechnik, da die meisten Sicherheitstools für die Verfolgung des Node.js-Verhaltens optimiert sind.
Nach der Ausführung sammelt die Malware Umgebungsvariablen, SSH-Schlüssel, GitHub-Token, npm-Token sowie Cloud-Anmeldedaten für AWS, Azure und Google Cloud Platform. Diese Daten werden in strukturierten JSON-Dateien wie cloud.json, environment.json und actionsSecrets.json zusammengetragen.
Statt mit externen Command-and-Control-Servern zu kommunizieren, exfiltrierten die Angreifer die gestohlenen Daten direkt zu GitHub. Sie erstellten öffentliche Repositories mit dem Namen „Sha1-Hulud: The Second Coming“ und luden die gestohlenen Zugangsdaten dort hoch. Diese Technik mischt böswillige Aktivitäten in den legitimen GitHub-API-Datenverkehr ein und erschwert die Identifizierung erheblich, so Check Point.
Persistenz und Ausbreitung
Die Malware registrierte infizierte Systeme als selbst gehostete GitHub-Runner, wodurch Angreifer beliebige Workflows aus der Ferne ausführen können. Zusätzlich wurden bösartige Workflow-Dateien in die Repositories der Opfer eingefügt, um langfristigen Zugriff aufrechtzuerhalten. Die Malware enthält auch einen destruktiven Failsafe-Mechanismus, der lokale Dateien löschen kann, wenn er eine Eindämmung oder Analyse erkennt.
Die Forscher von Check Point analysierten rund 20.000 der von den Angreifern erstellten Repositories und bestätigten, dass die Kampagne zur Offenlegung von Multi-Cloud- und Entwickler-Anmeldedaten in erheblichem Umfang führte. Von den untersuchten Repositories wurden Hunderte Anmeldedaten als offengelegt verifiziert.
„Shai-Hulud 2.0 ist ein hochgradig koordinierter Angriff auf die Lieferkette mit einer ungewöhnlich aggressiven Ausführungskette“, sagt Adi Bleih, Sicherheitsforscher im Bereich External Risk Management bei Check Point. „Das Ausmaß und die Geschwindigkeit der Ausbreitung ähneln einigen der disruptivsten Vorfälle in der Lieferkette, die wir in den letzten Jahren erlebt haben. Sie erinnern an die weitreichenden Auswirkungen, die Log4j mit sich zog.“
Empfohlene Schutzmaßnahmen
Für Android-Nutzer empfiehlt Check Point, Apps mit vagen Namen oder übermäßigen Berechtigungen zu meiden und stets Nutzerrezensionen zu prüfen. Persistente leere Benachrichtigungen sollten als Warnsignal betrachtet werden. Nutzer sollten regelmäßig die App-Einstellungen auf unbekannte Anwendungen überprüfen, die nicht auf dem Startbildschirm erscheinen.
Unternehmen, die npm verwenden, sollten von einer möglichen Gefährdung ausgehen. Sicherheitsteams müssen sofort Abhängigkeitsmanifeste und Lockfiles überprüfen, kompromittierte Pakete entfernen und aus vertrauenswürdigen Quellen neu installieren sowie den npm-Cache leeren. Darüber hinaus wird empfohlen, alle in Entwicklungs-, CI- und CD-Umgebungen verwendeten Zugangsdaten zu rotieren, GitHub-Runner zu überprüfen und alle nicht autorisierten Einträge zu löschen.