Ein Phishing-Angriff hat zahlreiche weit verbreitete NPM-Pakete kompromittiert, die zusammen mehr als zwei Milliarden Mal pro Woche heruntergeladen werden. Laut "
Golem" handelt es sich um einen der grössten bisher bekannten Supply-Chain-Angriffe auf das Javascript-Ökosystem. Ein Angreifer erlangte Zugriff auf das Konto eines unter dem Namen Qix bekannten Entwicklers und veröffentlichte manipulierte Versionen von 18 Paketen, darunter beliebte Bibliotheken wie ansi-styles, Chalk, Debug und supports-color. Nach Einschätzung des Sicherheitsforschers Kevin Beaumont erreichen diese Pakete zusammengerechnet mehr als 2,6 Milliarden Downloads pro Woche.
Qix räumte auf
Github ein, dass er auf eine täuschend echt gestaltete Phishing-Mail hereingefallen sei, die ihn aufforderte, seine Zwei-Faktor-Authentifizierung zu aktualisieren. Mit den gestohlenen Zugangsdaten veröffentlichte der Angreifer umgehend Schadcode. Die betroffenen Versionen wurden zwar innerhalb weniger Stunden wieder entfernt, doch angesichts der enormen Verbreitung ist davon auszugehen, dass die Malware bereits viele Systeme erreicht hat.
NPM-Pakete sind zentrale Bausteine im Javascript-Ökosystem. Sie liefern fertige Funktionen und Bibliotheken, die Entwickler in ihre Projekte einbinden – ähnlich wie Legosteine, aus denen Anwendungen zusammengesetzt werden. Weil diese Pakete millionenfach in andere Software einfliessen, können Angriffe auf sie schnell grosse Reichweiten entfalten.
Nach Angaben des Sicherheitsunternehmens
Socket zielte die eingeschleuste Schadsoftware darauf ab, Krypto-Transaktionen umzuleiten. Auf betroffenen Rechnern wurden Zahlungen an Wallet-Adressen des Angreifers abgefangen, betroffen waren Währungen wie Bitcoin, Ethereum, Tron oder Solana.
Beaumont warnte auf Mastodon, dass der Angriff weit gravierender hätte ausfallen können, wenn statt der simplen Krypto-Malware beispielsweise Ransomware eingesetzt worden wäre.
(dow)
