Offene Paket-Ökosysteme wie npm und PyPI stehen erneut im Fokus koordinierter Supply-Chain-Angriffe. Sicherheitsforscher führen eine aktuelle Kampagne, intern „graphalgo“ genannt, auf eine staatlich unterstützte APT-Gruppe zurück, die mit gefälschten Blockchain-Stellenangeboten gezielt Entwickler kompromittiert. Ziel sind insbesondere Systemzugriff, Datendiebstahl und der Zugriff auf Krypto-Assets.
Koordinierte Supply-Chain-Angriffe auf npm und PyPI
Laut Analysen von ReversingLabs ist die Kampagne seit Mai 2025 aktiv und kombiniert Paket-Manipulation mit Social Engineering. Angreifer veröffentlichen zunächst unauffällige, scheinbar nützliche Bibliotheken in den Repositories npm und Python Package Index (PyPI). Erst spätere Versionen werden mit versteckter Malware angereichert, wodurch klassische „Erstprüfungen“ ins Leere laufen.
Ein Beispiel ist das npm-Paket bigmathutils: Die erste Version war funktionsfähig und sauber und erzielte über 10.000 Downloads. Dieses Vertrauen nutzten die Angreifer, um in der zweiten Version einen schädlichen Codepfad einzuschleusen. Ähnlich aufgebaute Bibliotheken wurden unter verschiedenen Fantasie-Accounts in npm und PyPI publiziert. Dieses Muster – zuerst harmlos, dann kompromittiert – ist typisch für moderne Lieferketten-Angriffe und wurde auch in früheren Kampagnen gegen Open-Source-Repositories beobachtet.
Branchenberichte, etwa der „State of the Software Supply Chain“ von Sonatype, zeigen seit Jahren einen drastischen Anstieg solcher Angriffe; zwischen 2019 und 2023 wurde ein Zuwachs von über 700 % dokumentiert. Die nun beobachtete Kampagne fügt sich nahtlos in diese Entwicklung ein.
Fake-Blockchain-Unternehmen und Social Engineering gegen Entwickler
Die Operation beginnt mit einem ausgefeilten Social-Engineering-Szenario. Die Angreifer inszenieren Scheinfirmen wie „Veltrix Capital“, angeblich spezialisiert auf Blockchain-Projekte und Krypto-Börsen. Zur Untermauerung der Glaubwürdigkeit werden Domain, Website und eine Organisation auf GitHub registriert; dort liegen „Coding Challenges“ für Python und JavaScript.
Entwickler werden über LinkedIn, Facebook, Reddit und Fachforen angesprochen und zu einem technischen Test eingeladen: Sie sollen das GitHub-Repository klonen und das Projekt lokal ausführen. Der entscheidende Punkt: Der Testcode selbst ist unauffällig. Die Infektion erfolgt indirekt über bösartige Dependencies aus npm und PyPI, die beim Installationsprozess automatisch mit eingespielt werden.
Für die Praxis bedeutet das: Selbst erfahrene Entwickler können kompromittiert werden, ohne bewusst „verdächtigen“ Code auszuführen. Der alleinige Verweis auf GitHub- oder npm-Popularität reicht längst nicht mehr als Sicherheitskriterium.
Remote-Access-Trojaner, MetaMask-Check und tokenbasiertes C2
Nach der Installation der manipulierten Pakete wird ein Remote Access Trojan (RAT) nachgeladen. Diese Schadsoftware erlaubt eine weitreichende Fernsteuerung des kompromittierten Systems: Systeminventarisierung, Datei- und Prozessauflistung, Datei-Upload und -Download, sowie das Anlegen und Löschen von Verzeichnissen. Damit eignet sich der RAT sowohl für Spionage als auch als Einstiegspunkt für weitere Angriffe.
Besonders bemerkenswert ist der tokenbasierte Authentifizierungsmechanismus im Command-and-Control-(C2)-Traffic. Bei der Erstregistrierung sendet der Trojaner detaillierte Systeminformationen und erhält einen eindeutigen Token. Fortan werden alle C2-Anfragen mit diesem Token signiert. Dieses Verfahren erschwert sowohl die Nachbildung des Traffics als auch die Analyse der Infrastruktur. Ein ähnliches Vorgehen wurde bereits 2023 bei der nordkoreanischen Gruppe Jade Sleet (TraderTraitor, UNC4899) beobachtet und gilt als Indikator für hochprofessionelle APT-Operationen.
Die finanzielle Motivation der Angreifer zeigt sich daran, dass der RAT prüft, ob im Browser der Entwickler das Krypto-Wallet-Plugin MetaMask installiert ist. Damit rückt nicht nur der Code, sondern auch das Privateigentum der Zielperson – etwa Krypto-Währungen und DeFi-Zugänge – in den Fokus.
Weitere Malware-Wellen in npm: Bada Stealer und XPACK ATTACK
„duer-js“: Bada Stealer zielt auf Browserdaten und Discord-Tokens
Parallel meldeten Forscher von JFrog einen weiteren gefährlichen npm-Upload: das Paket „duer-js“, veröffentlicht vom Account luizaearlyx. Offiziell sollte die Bibliothek lediglich die „Sichtbarkeit des Konsolenfensters verbessern“. In Wirklichkeit enthielt sie den Infostealer Bada Stealer.
Bada Stealer sammelt Discord-Tokens, Passwörter, Cookies und AutoFill-Daten aus gängigen Browsern wie Chrome, Edge, Brave, Opera und Yandex Browser sowie Informationen zu installierten Krypto-Wallets und Systemdetails. Die Beute wird über einen Discord-Webhook übertragen und zusätzlich auf dem Filehoster Gofile abgelegt. Ein zweiter, nachgeladener Bestandteil verankert sich im Autostart von Discord Desktop, aktualisiert sich selbst und kann direkt auf gespeicherte Zahlungsdaten zugreifen.
XPACK ATTACK: Erpressung direkt beim „npm install“
Eine weitere, technisch weniger komplexe, aber ungewöhnliche Kampagne wurde unter dem Namen „XPACK ATTACK“ am 4. Februar 2026 von der Initiative OpenSourceMalware dokumentiert. Alle beteiligten Pakete stammten vom Nutzer dev.chandra_bose und richteten sich gegen Entwickler, die nichtsahnend npm install ausführten.
Der Schadcode missbraucht den HTTP-Status 402 Payment Required, um eine vermeintlich legitime „Bezahlpflicht“ für den Paketzugriff vorzutäuschen. Die Installation wird solange blockiert, bis 0,1 USDC oder ETH an eine angegebene Wallet-Adresse überwiesen werden. Gleichzeitig werden GitHub-Benutzernamen und Geräte-Fingerprints erfasst. Lehnt der Nutzer die Zahlung ab, bricht der Installationsvorgang erst nach mehreren Minuten mit einem Fehler ab – die Attacke wirkt dadurch wie ein normales, wenn auch fragwürdiges, Lizenzmodell und nicht wie klassische Malware.
Konkrete Abwehrmaßnahmen für Entwickler und Unternehmen
Die beschriebenen Vorfälle unterstreichen, dass die Software-Lieferkette inzwischen ein zentrales Angriffsziel für Cyberkriminelle und staatliche Akteure ist. Organisationen sollten deshalb technische und organisatorische Maßnahmen kombinieren:
1. Härtung des Dependency-Managements. Nutzen Sie private Registries oder Spiegel, definieren Sie Allow-Lists für vertrauenswürdige Pakete und pinnen Sie Versionen (z. B. via package-lock.json oder requirements.txt). Prüfen Sie vor Updates die Historie der Maintainer, plötzliche Owner-Wechsel und auffällige Versionssprünge.
2. Automatisierte Sicherheitsanalyse. Setzen Sie Software-Composition-Analysis-(SCA)-Tools wie etwa GitHub Advanced Security, Snyk, OWASP Dependency-Check oder vergleichbare Lösungen ein, um Abhängigkeiten und Build-Artefakte kontinuierlich auf Malware und bekannte Schwachstellen zu untersuchen.
3. Isolierte Umgebungen für Fremdcode. Führen Sie Code aus Bewerbungsaufgaben, unbekannten Repositories oder Proof-of-Concepts grundsätzlich in isolierten Containern oder VMs aus. Sensible Browserprofile oder Wallets sollten dort nicht vorhanden sein.
4. Sensibilisierung von HR und Entwicklern. Rekrutierende Teams und technische Mitarbeiter müssen über Fake-Recruiting-Kampagnen informiert sein. Verdächtig sind unter anderem neu registrierte Domains, aggressive Zeitvorgaben, fehlende Firmenhistorie und die Forderung, Code direkt über externe Dependencies laufen zu lassen, ohne Alternativen anzubieten (z. B. ZIP-Archiv des Tests).
Die aktuelle Angriffswelle zeigt, dass professionelle Gegner zunehmend Entwickler selbst als Eintrittspunkt in Unternehmensnetze und Krypto-Ökosysteme ins Visier nehmen. Wer seine Abhängigkeitskette konsequent absichert, Security-Scans fest in den CI/CD-Prozess integriert und bei Recruiting-„Coding Challenges“ misstrauisch bleibt, reduziert sein Risiko erheblich – und schützt damit nicht nur den eigenen Quellcode, sondern auch sensible Zugangsdaten und digitale Vermögenswerte.
