Ein großangelegter Angriff auf die Software-Lieferkette hat 20 populäre npm-Pakete betroffen, die zusammen über zwei Milliarden wöchentliche Downloads verzeichnen, wie das Onlineportal The Hacker News berichtet. Auslöser war demnach der erfolgreiche Phishing-Angriff auf das Konto des Maintainers Josh Junon, besser bekannt als Qix.

Die Täter verschickten eine täuschend echte E-Mail im Namen von npm, die Junon dazu brachte, seine Zugangsdaten und den Zwei-Faktor-Authentifizierungscode auf einer manipulierten Website einzugeben. Anschließend nutzten die Angreifer diese Informationen, um manipulierte Versionen der betroffenen Pakete zu veröffentlichen.

Zentrale Bibliotheken kompromittiert

Unter den kompromittierten Projekten finden sich zentrale Bibliotheken wie "chalk", "debug" oder "ansi-regex", die in unzähligen Anwendungen weltweit im Einsatz sind. Entwicklerinnen und Entwickler laden diese Abhängigkeiten häufig automatisch über Build-Pipelines, was die Reichweite des Angriffs erheblich vergrößert. Junon räumte den Fehler öffentlich ein und kündigte auf Bluesky an, die bereinigten Versionen so schnell wie möglich bereitzustellen.

Die Analyse der eingeschleusten Schadsoftware zeigt, dass sie gezielt auf den Diebstahl von Kryptowährungen ausgerichtet war. Der Code überprüft zunächst, ob er in einem Browser ausgeführt wird, und klinkt sich dann in zentrale Schnittstellen wie "window.fetch", "XMLHttpRequest" oder "window.ethereum.request" ein. Auf diese Weise können Transaktionen umgeleitet und Wallet-Adressen gegen solche des Angreifers ausgetauscht werden – eine Methode, die vor allem Nutzer mit verbundenen Wallets gefährdet.

Endanwender im Visier

Sicherheitsforscher von Aikido Security und Socket betonen, dass die Attacke nicht primär Entwickler, sondern Endanwender ins Visier nimmt, die Webseiten mit eingebundenem kompromittiertem Code aufrufen. Dennoch könne auch ein Entwickler selbst Opfer werden, wenn er etwa eine betroffene Seite im Browser öffnet und ein Wallet verbindet. Fachleute wie Sonatype-CTO Ilkka Turunen warnen zudem, dass es sich bei solchen Übernahmen populärer Pakete um eine inzwischen etablierte Angriffsstrategie handele, die auch staatlich unterstützte Gruppen wie Lazarus regelmäßig einsetzen.

Das aktuelle Ereignis reiht sich in eine Serie von Angriffen auf große Open-Source-Ökosysteme wie npm und PyPI ein. Angreifer setzen dabei neben kompromittierten Accounts auch auf Methoden wie Typosquatting oder Slopsquatting, bei dem auf KI-generierte Abhängigkeitsvorschläge gezielt manipulierte Pakete platziert werden. Sicherheitsexperten sehen in dem Vorfall einmal mehr den Beleg, dass Unternehmen ihre CI/CD-Pipelines härten und Abhängigkeiten strenger kontrollieren müssen, um nicht unbemerkt Schadcode einzuschleusen.