Ein gezielter Phishing-Angriff auf den npm-Maintainer Josh Junon (Qix) hat zur Veröffentlichung bösartiger Versionen mehrerer hochpopulärer JavaScript‑Pakete geführt, darunter chalk und strip-ansi. Diese Bibliotheken verzeichnen zusammen über 2,6 Milliarden wöchentliche Downloads. Aufgrund transitativer Abhängigkeiten war der potenzielle Einschlagradius enorm – von Anwendungen über Bibliotheken bis zu Frameworks.
Phishing auf npm-Maintainer: Taktik, Techniken und Verfahren (TTPs)
Am 8. September 2025 bestätigte Qix die Kontoübernahme nach einer E-Mail‑Kampagne, die zur angeblichen 2FA-Aktualisierung drängte. Die Nachrichten kamen von support@npmjs[.]help, einem am 5. September registrierten Domain‑Lookalike zu npmjs.com. Laut BleepingComputer leitete das Login‑Formular Eingaben an https://websocket-api2[.]publicvm[.]com/… weiter – typisch für Credential‑ und Token‑Theft. Der Maintainer leitete umgehend Wiederherstellungsmaßnahmen ein.
Betroffene Pakete und Ausbreitung über transitive Abhängigkeiten
Das npm‑Team entfernte kompromittierte Releases rasch. Nach Einschätzung von Socket verschaffte die Übernahme des Qix‑Kontos den Angreifern Reichweite in die Breite der JavaScript‑Lieferkette: Jede Anwendung, die direkt oder indirekt abhängige Pakete konsumiert, kann unbemerkt betroffen sein. Transitivität ist hier der Hebel: Ein manipuliertes Basis‑Paket propagiert das Risiko kaskadenartig.
Malware-Verhalten im Browser: Fokus auf Web3 und Zahlungsströme
Laut Aikido Security wurden rund 280 Zeilen schädlicher Abfanglogik in index.js eingeschleust. Die Payload aktiviert sich clientseitig und zielt primär auf Browser‑Kontexte. Ziel ist das Ausspähen und Manipulieren von Wallet‑Interaktionen und Transaktionen, bevor der Nutzer signiert.
Die Malware hakt sich in zentrale JavaScript‑Schnittstellen ein, darunter fetch, XMLHttpRequest und Web3‑Wallet‑APIs wie window.ethereum sowie Solana‑Schnittstellen. Betroffen sind Transfers in Ethereum, Bitcoin, Solana, Tron, Litecoin und Bitcoin Cash. Der Empfänger‑Addressat wird unmittelbar vor der Signatur unbemerkt gegen eine angreiferkontrollierte Adresse getauscht – eine ausgefeilte UI‑Evasion‑Taktik.
Begrenzter finanzieller Schaden: Fehler im Code und enge Auslösebedingungen
Trotz des großen potenziellen Impacts schätzen Security Alliance (SEAL) und VXUnderground die tatsächliche Ausbeute der Akteure auf wenige Cent bis etwa 50 US‑Dollar. Grund ist ein Implementierungsfehler, durch den teilweise Uniswap‑ und andere Swap‑Kontraktadressen statt der Angreifer‑Wallets ersetzt wurden. Zudem triggert die Attacke primär in spezifischen Client‑Szenarien und nicht in serverseitigen Ausführungswegen, wie BleepingComputer hervorhebt.
Empfehlungen: Sofortmassnahmen und Härtung der Software-Lieferkette
Für Entwickler, Maintainer und DevSecOps-Teams
– Projekte umgehend gegen saubere Versionen neu bauen und deployen; Versionen fixieren, Lock‑Files pinnen, Artefakt‑Hashes verifizieren.
– 2FA verpflichtend für npm/GitHub, minimal privilegierte Tokens, SSO nutzen; alte Tokens regelmäßig widerrufen.
– Supply‑Chain‑Kontrollen etablieren: SCA/Dependency‑Review, Integritäts‑Monitoring, Artefakt‑Signierung (z. B. Sigstore), Approval‑Policies für Maintainer‑Releases.
– CSP (Content Security Policy) und SRI (Subresource Integrity) einsetzen, um manipuliertes JS am Laden oder Ausführen zu hindern.
Für Endnutzer und Krypto-Investoren
– Hardware‑Wallets verwenden und Empfängeradressen immer auf dem Geräte‑Display gegenprüfen; ohne Hardware‑Wallets on‑chain‑Transaktionen möglichst aufschieben (Empfehlung u. a. von Ledger‑CTO Charles Guillemet).
– Keine Links aus 2FA‑Urgency‑Mails anklicken; Konten nur über Lesezeichen oder manuell eingegebene URLs öffnen.
– Betroffene Apps/Extensions aktualisieren, Cache und Service Worker bereinigen, Auto‑Fill‑Skripte und Browser‑Erweiterungen prüfen.
Der Vorfall unterstreicht das strukturelle Risiko des npm‑Ökosystems: Die Kompromittierung eines einzelnen Maintainers kann sich durch transitive Abhängigkeiten auf Tausende Projekte auswirken. Auch wenn der unmittelbare finanzielle Schaden gering blieb, sind die systemischen Risiken erheblich. Organisationen sollten jetzt Lieferketten‑Sicherheit priorisieren, Identitäts‑ und Token‑Hygiene erzwingen sowie signierte Builds, CSP/SRI und strenge Release‑Kontrollen einführen; Web3‑Nutzer minimieren ihr Risiko durch Hardware‑Wallets und konsequente Adressverifikation.
