Die Open-Source-Entwicklergemeinschaft steht vor einer beispiellosen Bedrohung: Eine Serie koordinierter Cyberangriffe hat in den letzten anderthalb Wochen mehrere kritische npm-Pakete kompromittiert, die zusammen über 30 Millionen wöchentliche Downloads verzeichnen. Die Angreifer setzten dabei auf ausgeklügelte Phishing-Kampagnen, um Entwickler populärer JavaScript-Bibliotheken ins Visier zu nehmen.
Toptal-Kompromittierung: Massive GitHub und npm Infiltration
Der schwerwiegendste Vorfall ereignete sich am 20. Juli 2025, als Cyberkriminelle erfolgreich in die Systeme von Toptal eindrangen – einer renommierten Freelancer-Plattform und Anbieterin von Entwicklungstools. Die Angreifer erlangten unbefugten Zugriff auf den GitHub-Account des Unternehmens und machten alle 73 Unternehmens-Repositories öffentlich zugänglich, einschließlich vertraulicher Projekte und Quellcodes.
Sicherheitsforscher von Socket identifizierten ein systematisches Vorgehen der Angreifer. Nach der Übernahme der Repositories modifizierten sie den Quellcode des Picasso-Design-Systems, integrierten schädliche Komponenten und veröffentlichten anschließend zehn infizierte Pakete im npm-Registry unter dem Deckmantel legitimer Updates.
Die eingebettete Malware verfolgte zwei kritische Ziele: Den Diebstahl von GitHub-Authentifizierungstoken über ein preinstall-Skript und die nachfolgende Datenlöschung in den Opfersystemen durch ein postinstall-Skript. Bevor die Bedrohung entdeckt wurde, verzeichneten die kompromittierten Pakete etwa 5.000 Downloads.
Gezielte Phishing-Angriffe auf JavaScript-Bibliotheks-Maintainer
Parallel zum Toptal-Vorfall entwickelte sich eine noch umfangreichere Kampagne gegen Entwickler weit verbreiteter npm-Pakete. Hauptziel war der Maintainer JounQin, verantwortlich für das eslint-config-prettier-Paket mit über 30 Millionen wöchentlichen Downloads.
Der Angriff erfolgte über eine sorgfältig orchestrierte Phishing-E-Mail, die scheinbar von der offiziellen npm-Unterstützung ([email protected]) stammte. Der enthaltene Link leitete auf die gefälschte Domain npnjs[.]com weiter – eine täuschend echte Nachbildung der offiziellen npmjs.com-Website.
Die erfolgreiche Attacke führte zur Kompromittierung mehrerer kritischer Pakete: eslint-plugin-prettier, synckit, @pkgr/core und napi-postinstall. Mit den gestohlenen Zugangsdaten veröffentlichten die Angreifer schädliche Versionen, die spezialisierte Malware für Windows-Systeme enthielten.
Technische Analyse der Schadfunktionen
Die Untersuchung der infizierten Pakete offenbarte ein komplexes Infektionsschema. Ein bösartiges install.js-Skript aktivierte sich unmittelbar nach der Paketinstallation und enthielt eine logDiskSpace()-Funktion, die entgegen ihrer Bezeichnung die ausführbare Datei node-gyp.dll über den rundll32-Systemprozess startete. Dieser Mechanismus ermöglichte die Einschleusung des Scavanger-Stealers – einer Trojaner-Software zur Datenexfiltration.
Kompromittierung der „is“-Bibliothek: Plattformübergreifende Backdoor
Ein dritter bedeutsamer Zwischenfall betraf das „is“-Paket – eine schlanke JavaScript-Bibliothek mit 2,8 Millionen wöchentlichen Downloads. Entwickler Jordan Harband entdeckte rasch die Kompromittierung der Versionen 3.3.1-5.0.0, die sechs Stunden nach Veröffentlichung aus dem Registry entfernt wurden.
Die Angreifer verwendeten erneut die gefälschte Domain npnjs[.]com zum Diebstahl der Maintainer-Zugangsdaten. Der in die Bibliothek eingeschleuste Code fungierte als plattformübergreifender JavaScript-Loader, der WebSocket-Verbindungen für die Fernsteuerung infizierter Systeme etablierte.
Die Schadfracht sammelte umfassende Systeminformationen, einschließlich Computername, Betriebssystem- und Prozessorspezifikationen sowie sämtliche Umgebungsvariablen. Jede über WebSocket empfangene Nachricht wurde als ausführbarer JavaScript-Code interpretiert, was den Angreifern vollständigen interaktiven Zugriff auf kompromittierte Maschinen gewährte.
Schutzmaßnahmen und Wiederherstellungsstrategien
Die Cybersecurity-Expertengemeinschaft empfiehlt Entwicklern dringend eine sofortige Abhängigkeitsprüfung. Es ist essentiell zu verifizieren, dass keine kompromittierten Paketversionen in Produktionsumgebungen vorhanden sind und vollständige Malware-Scans durchzuführen.
Diese Angriffsserie unterstreicht die kritische Bedeutung des Schutzes von Software-Lieferketten und die Notwendigkeit, das Bewusstsein für Social-Engineering-Methoden zu schärfen. Die Implementierung von Zwei-Faktor-Authentifizierung, regelmäßige Verifikation von Kommunikationsquellen und Vorsicht bei E-Mail-Links bleiben fundamentale Schutzprinzipien gegen derartige Bedrohungen. Entwicklerteams sollten zudem automatisierte Dependency-Scanning-Tools einsetzen und Sicherheitsrichtlinien für die Paketverwendung etablieren.
