Angreifer nutzen im Rahmen der Kampagne Beamglea legitime Bausteine des JavaScript-Ökosystems – den Paketmanager npm und das CDN unpkg – um Endnutzer unauffällig auf Phishing-Portale umzuleiten. Statt klassischem Schadcode enthalten die Pakete lediglich JavaScript-Weiterleitungen. Diese Tarnung hinter vertrauenswürdigen Diensten erschwert Erkennung und Blockierung durch signatur- oder reputationsbasierte Kontrollen.
So funktioniert der Angriff über npm und das unpkg-CDN
Nach Angaben der Sicherheitsforscher von Socket werden veröffentlichte npm-Pakete unmittelbar per HTTPS über unpkg[.]com bereitgestellt. Die Täter legen Serien kurzlebiger Pakete mit dem Schema redirect-[a-z0-9]{6} an und verteilen HTML-Köder, die als Bestellungen, technische Spezifikationen oder Projektdokumente getarnt sind. Beim Öffnen lädt der Browser das Skript direkt vom CDN und führt eine Umleitung auf eine Phishing-Domain aus.
Ein Detail erhöht die Glaubwürdigkeit: Die E-Mail-Adresse des Opfers wird im URL-Fragment übergeben und das Login-Feld auf der gefälschten Seite automatisch vorausgefüllt. Dokumentiert wurden über 630 eindeutige HTML-Dateien mit dem Kampagnen-Metatag nb830r6x.
Umfang, Ziele und Geografie der Beamglea-Kampagne
Von der Firma Safety Ende September zunächst identifizierte 120 bösartige Pakete haben sich laut Socket inzwischen auf über 175 erweitert. Die Pakete wurden insgesamt mehr als 26.000 Mal abgerufen – ein Teil dieser Zugriffe stammt mutmaßlich von Forschern und Scannern.
Im Visier stehen mehr als 135 Unternehmen aus Energie, Industrie und Technologie. Genannt werden unter anderem Algodue, ArcelorMittal, Demag Cranes, D-Link, H2 Systems, Moxa, Piusi, Renishaw, Sasol, Stratasys und ThyssenKrupp Nucera. Der Schwerpunkt liegt in Westeuropa; Ziele wurden auch in Nordeuropa und im asiatisch-pazifischen Raum beobachtet.
Automatisierung: Paket- und HTML-Generierung im Fließbandverfahren
Die Kampagne setzt auf Python-Skripte, die prüfen, ob ein Nutzer authentifiziert ist, E-Mail-Adresse und Phishing-URL in eine JavaScript-Vorlage (beamglea_template.js) injizieren, die package.json erzeugen, das Paket bei npm publizieren und anschließend einen passenden HTML-Köder mit CDN-Verweis erstellen. Diese Pipeline ermöglicht die schnelle Bereitstellung zahlreicher Einmal-Artefakte und reduziert die Wirksamkeit blockbasierter Gegenmaßnahmen.
Verwandte Muster im npm-Ökosystem
Forscher von Snyk fanden zusätzlich Pakete mit dem Präfix mad-*, die ein ähnliches Missbrauchsmuster zeigen: Eine gefälschte Seite „Cloudflare-Sicherheitsprüfung“ leitet unbemerkt auf eine aus einer entfernten GitHub-Datei geladene Adresse weiter. Eine direkte Verbindung zu Beamglea ist nicht bestätigt; Taktiken und Techniken überschneiden sich jedoch bei der Nutzung vertrauenswürdiger Plattformen für Hosting und Auslieferung.
Warum die Methode Abwehrmechanismen umgeht
Der entscheidende Vorteil für Angreifer ist die Tarnung hinter legitimen Diensten. Zugriffe auf unpkg und npm sind in vielen Unternehmensnetzen standardmäßig erlaubt, und die Pakete enthalten formal keine klassische Malware, sondern nur Redirect-Logik. Dadurch sinkt die Erkennungsquote bei signaturbasierten Lösungen und domänenbezogener Reputationsprüfung.
Abwehrmaßnahmen für Unternehmen
E-Mail- und Endpunktschutz
– HTML-Anhänge aus der E-Mail in Sandbox/VDI öffnen oder das S/MIME-/Gateway-Handling so konfigurieren, dass .html-Anhänge blockiert oder umgeschrieben werden.
– Mail-Authentifizierung stärken: DMARC, SPF, DKIM konsequent implementieren; Link- und Attachment-Filter einsetzen und auf Inhaltsanomalien (PO, Rechnungen, RFP) prüfen.
Web- und Netzwerkkontrollen
– Strikte Content Security Policy (CSP) für interne und externe Webanwendungen, Skriptquellen auf eine Allowlist beschränken; falls möglich, keine CDN-Ladungen außerhalb definierter Quellen.
– Monitoring für Zugriffe auf unpkg[.]com aktivieren und nach Pfadmustern wie redirect-* sowie dem Indicator nb830r6x suchen.
Supply-Chain-Sicherheit
– Private npm-Spiegel/Registries nutzen, Abhängigkeits-Audits automatisieren und die Installation aus unverifizierten Namespaces verhindern. Registry-Proxies mit Allowlist und Quarantäne für neue Pakete sind empfehlenswert.
Organisationen sollten Zugriffe auf öffentliche CDNs grundlegend überprüfen, Proxyrichtlinien anpassen und Telemetrie für npm/unpkg aktiv auswerten. Ein schneller Audit der Logs auf unpkg-Zugriffe mit Verweisen auf redirect-* sowie die Aktualisierung von E-Mail- und Webrichtlinien helfen, Exposition zu reduzieren. Mitarbeiterschulungen zu HTML-Ködern, die sich als Beschaffungs- oder Technikdokumente tarnen, runden die Verteidigung ab.
