Die JavaScript-Entwicklergemeinschaft steht vor einer kritischen Sicherheitsbedrohung: Cyberkriminelle haben erfolgreich 17 weit verbreitete NPM-Pakete des GlueStack @react-native-aria Projekts infiltriert und dabei einen hochentwickelten Remote Access Trojaner (RAT) eingeschleust. Mit über einer Million Downloads stellt dieser Vorfall eine der schwerwiegendsten Supply Chain Kompromittierungen des Jahres 2025 dar.
Umfang und Analyseergebnisse der Cyberattacke
Sicherheitsforscher von Aikido Security identifizierten als erste die verdächtige Aktivität durch die Entdeckung obfuszierten Schadcodes in der Datei lib/index.js der betroffenen Pakete. Die Tragweite wird deutlich, wenn man berücksichtigt, dass diese kompromittierten Bibliotheken wöchentlich von etwa 1,02 Millionen Entwicklern heruntergeladen werden.
Der koordinierte Angriff startete am 6. Juni 2025 mit der Veröffentlichung der infizierten Version des @react-native-aria/focus Pakets. Innerhalb kürzester Zeit gelang es den Angreifern, 17 von 20 Paketen der gesamten GlueStack-Ökosystem zu kompromittieren, was auf eine hochorganisierte und strategisch geplante Operation hindeutet.
Technische Analyse der Malware-Implementierung
Die forensische Untersuchung offenbarte raffinierte Verschleierungstechniken. Der bösartige Code wurde gezielt in die letzte Zeile der Quelldateien eingefügt, wobei extensive Leerzeichen die Erkennung bei oberflächlicher Betrachtung auf der NPM-Website erschwerten. Die mehrstufige Obfuskation stellte zusätzlich eine Herausforderung für automatisierte Sicherheitssysteme dar.
Besonders bemerkenswert ist die strukturelle Ähnlichkeit zu Trojanern aus früheren NPM Supply Chain Angriffen, was auf die Aktivitäten einer etablierten Cybercrime-Gruppe mit bewährten Angriffsmethoden schließen lässt.
Funktionsweise und Schadenspotential des RAT-Trojaners
Nach der Aktivierung etabliert die Malware eine Verbindung zu Command-and-Control-Servern der Angreifer und empfängt Befehle für verschiedene Operationen auf kompromittierten Systemen. Besonders gefährlich ist die Fähigkeit des Trojaners, die PATH-Umgebungsvariable zu manipulieren.
Durch das Hinzufügen eines gefälschten Pfads (%LOCALAPPDATA%\Programs\Python\Python3127) an den Anfang der PATH-Liste können Angreifer Python- und pip-Aufrufe abfangen und stattdessen ihre eigenen schädlichen Binärdateien ausführen. Diese Technik ermöglicht persistente Systemkompromittierung und weitere Malware-Installation.
Incident Response und Schadensbegrenzung
Erste Kontaktversuche der Aikido Security Experten über GitHub Issues blieben zunächst erfolglos, was die kritische Bedeutung schneller Reaktionszeiten in der Open-Source-Sicherheit unterstreicht. Erst nach direkter Benachrichtigung der NPM-Administration und medialer Aufmerksamkeit reagierte das GlueStack-Team.
Die eingeleiteten Sofortmaßnahmen umfassten den Widerruf kompromittierter Access-Token und die Markierung infizierter Paketversionen als deprecated. Eine vollständige Entfernung war jedoch aufgrund bestehender Abhängigkeiten in anderen Projekten nicht möglich, was die langfristigen Auswirkungen solcher Angriffe verdeutlicht.
Verbindungen zu vorherigen Sicherheitsvorfällen
Cybersecurity-Analysten verknüpfen diesen Vorfall mit derselben Angreifergruppe, die bereits vier weitere NPM-Pakete kompromittiert hatte: biatec-avm-gas-station, cputil-node, lfwfinance/sdk und lfwfinance/sdk-dev. Diese Erkenntnisse deuten auf eine systematische Kampagne zur Infiltration populärer JavaScript-Bibliotheken hin.
Die Kontinuität der Angriffsmuster und verwendeten Techniken lässt auf eine professionelle Organisation schließen, die gezielt kritische Infrastrukturen der Software-Entwicklung ins Visier nimmt.
Dieser schwerwiegende Sicherheitsvorfall unterstreicht die essenzielle Notwendigkeit robuster Supply Chain Security-Maßnahmen. Entwicklungsorganisationen sollten regelmäßige Dependency-Audits implementieren, automatisierte Sicherheitsüberwachung einsetzen und mehrstufige Verteidigungsstrategien etablieren. Die Verwendung von Paket-Integritätsprüfungen, Code-Signing-Verifikation und isolierten Build-Umgebungen kann das Risiko ähnlicher Kompromittierungen erheblich reduzieren.
