Koordinierte Cyberangriffe auf npm-Pakete: Millionen Downloads betroffen

Foto des Autors

CyberSecureFox Editorial Team

Die Open-Source-Entwicklergemeinschaft steht vor einer beispiellosen Bedrohung: Eine Serie koordinierter Cyberangriffe hat in den letzten anderthalb Wochen mehrere kritische npm-Pakete kompromittiert, die zusammen über 30 Millionen wöchentliche Downloads verzeichnen. Die Angreifer setzten dabei auf ausgeklügelte Phishing-Kampagnen, um Entwickler populärer JavaScript-Bibliotheken ins Visier zu nehmen.

Toptal-Kompromittierung: Massive GitHub und npm Infiltration

Der schwerwiegendste Vorfall ereignete sich am 20. Juli 2025, als Cyberkriminelle erfolgreich in die Systeme von Toptal eindrangen – einer renommierten Freelancer-Plattform und Anbieterin von Entwicklungstools. Die Angreifer erlangten unbefugten Zugriff auf den GitHub-Account des Unternehmens und machten alle 73 Unternehmens-Repositories öffentlich zugänglich, einschließlich vertraulicher Projekte und Quellcodes.

Sicherheitsforscher von Socket identifizierten ein systematisches Vorgehen der Angreifer. Nach der Übernahme der Repositories modifizierten sie den Quellcode des Picasso-Design-Systems, integrierten schädliche Komponenten und veröffentlichten anschließend zehn infizierte Pakete im npm-Registry unter dem Deckmantel legitimer Updates.

Die eingebettete Malware verfolgte zwei kritische Ziele: Den Diebstahl von GitHub-Authentifizierungstoken über ein preinstall-Skript und die nachfolgende Datenlöschung in den Opfersystemen durch ein postinstall-Skript. Bevor die Bedrohung entdeckt wurde, verzeichneten die kompromittierten Pakete etwa 5.000 Downloads.

Gezielte Phishing-Angriffe auf JavaScript-Bibliotheks-Maintainer

Parallel zum Toptal-Vorfall entwickelte sich eine noch umfangreichere Kampagne gegen Entwickler weit verbreiteter npm-Pakete. Hauptziel war der Maintainer JounQin, verantwortlich für das eslint-config-prettier-Paket mit über 30 Millionen wöchentlichen Downloads.

Der Angriff erfolgte über eine sorgfältig orchestrierte Phishing-E-Mail, die scheinbar von der offiziellen npm-Unterstützung ([email protected]) stammte. Der enthaltene Link leitete auf die gefälschte Domain npnjs[.]com weiter – eine täuschend echte Nachbildung der offiziellen npmjs.com-Website.

Die erfolgreiche Attacke führte zur Kompromittierung mehrerer kritischer Pakete: eslint-plugin-prettier, synckit, @pkgr/core und napi-postinstall. Mit den gestohlenen Zugangsdaten veröffentlichten die Angreifer schädliche Versionen, die spezialisierte Malware für Windows-Systeme enthielten.

Technische Analyse der Schadfunktionen

Die Untersuchung der infizierten Pakete offenbarte ein komplexes Infektionsschema. Ein bösartiges install.js-Skript aktivierte sich unmittelbar nach der Paketinstallation und enthielt eine logDiskSpace()-Funktion, die entgegen ihrer Bezeichnung die ausführbare Datei node-gyp.dll über den rundll32-Systemprozess startete. Dieser Mechanismus ermöglichte die Einschleusung des Scavanger-Stealers – einer Trojaner-Software zur Datenexfiltration.

Kompromittierung der „is“-Bibliothek: Plattformübergreifende Backdoor

Ein dritter bedeutsamer Zwischenfall betraf das „is“-Paket – eine schlanke JavaScript-Bibliothek mit 2,8 Millionen wöchentlichen Downloads. Entwickler Jordan Harband entdeckte rasch die Kompromittierung der Versionen 3.3.1-5.0.0, die sechs Stunden nach Veröffentlichung aus dem Registry entfernt wurden.

Die Angreifer verwendeten erneut die gefälschte Domain npnjs[.]com zum Diebstahl der Maintainer-Zugangsdaten. Der in die Bibliothek eingeschleuste Code fungierte als plattformübergreifender JavaScript-Loader, der WebSocket-Verbindungen für die Fernsteuerung infizierter Systeme etablierte.

Die Schadfracht sammelte umfassende Systeminformationen, einschließlich Computername, Betriebssystem- und Prozessorspezifikationen sowie sämtliche Umgebungsvariablen. Jede über WebSocket empfangene Nachricht wurde als ausführbarer JavaScript-Code interpretiert, was den Angreifern vollständigen interaktiven Zugriff auf kompromittierte Maschinen gewährte.

Schutzmaßnahmen und Wiederherstellungsstrategien

Die Cybersecurity-Expertengemeinschaft empfiehlt Entwicklern dringend eine sofortige Abhängigkeitsprüfung. Es ist essentiell zu verifizieren, dass keine kompromittierten Paketversionen in Produktionsumgebungen vorhanden sind und vollständige Malware-Scans durchzuführen.

Diese Angriffsserie unterstreicht die kritische Bedeutung des Schutzes von Software-Lieferketten und die Notwendigkeit, das Bewusstsein für Social-Engineering-Methoden zu schärfen. Die Implementierung von Zwei-Faktor-Authentifizierung, regelmäßige Verifikation von Kommunikationsquellen und Vorsicht bei E-Mail-Links bleiben fundamentale Schutzprinzipien gegen derartige Bedrohungen. Entwicklerteams sollten zudem automatisierte Dependency-Scanning-Tools einsetzen und Sicherheitsrichtlinien für die Paketverwendung etablieren.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen