Malware-Kampagne in npm-Registry: 60 bösartige Pakete entdeckt

60 Schadprogramme in npm-Paketen entdeckt: Entwicklernetzwerke im Visier

Die npm-Registry steht erneut im Fokus, diesmal aufgrund einer Malware-Kampagne, die bösartige Pakete verwendet, um Entwicklernetzwerke zu kartieren. Sicherheitsexperten von Socket haben einen koordinierten Angriff identifiziert, an dem mindestens drei Publisher-Konten beteiligt sind. Bei dieser Aktion wurden 60 verschiedene Pakete verbreitet, die alle denselben Code zur Host-Fingerabdruckerstellung enthalten.

Im Gegensatz zu Angriffen, die auf sofortige Schäden abzielen, verfolgt diese Kampagne ein subtileres Ziel: das Sammeln von Informationen. Die Pakete wurden bereits über 3.000 Mal von ahnungslosen Entwicklern heruntergeladen und dienen dazu, interne Entwicklerumgebungen zu erfassen und mit öffentlich zugänglicher Infrastruktur zu verknüpfen. Diese Informationen könnten für zukünftige, gezieltere Cyberangriffe genutzt werden.

Kirill Boychenko, Threat Intelligence Analyst bei Socket, warnt vor diesen bösartigen npm-Paketen. Das Hauptziel sei nicht die sofortige Sabotage, sondern die unauffällige Informationsbeschaffung. „Das Skript führt eine Aufklärung durch, mit dem einzigen Zweck, jeden Rechner zu identifizieren, der das Paket erstellt oder installiert“, heißt es in der Analyse von Socket. „Durch das Sammeln interner und externer Netzwerkidentifikatoren werden private Entwicklerumgebungen mit ihrer öffentlich zugänglichen Infrastruktur verknüpft – ideal für nachfolgende Angriffe.“

Besonders gefährdet sind Continuous Integration (CI)-Server, die automatisierten Arbeitstiere der modernen Entwicklung. „Auf Continuous-Integration-Servern kann das Leck interne Paketregistrierungs-URLs und Build-Pfade offenlegen, Informationen, die nachfolgende Supply-Chain-Angriffe beschleunigen“, so der Bericht. Obwohl die aktuelle Nutzlast auf Aufklärung beschränkt ist, schafft sie ein strategisches Risiko, indem sie den Grundstein für tiefere Eingriffe legt.

Drei npm-Konten – bbbb335656, sdsds656565 und cdsfdfafd1232436437 – haben jeweils zwanzig dieser bösartigen Pakete veröffentlicht. Dies geschah innerhalb eines kurzen Zeitfensters von elf Tagen. Die für die Registrierung verwendeten E-Mail-Adressen (npm9960+1@gmail[.]com, npm9960+2@gmail[.]com und npm9960+3@gmail[.]com) deuten auf einen einzelnen Akteur oder zumindest eine eng koordinierte Gruppe hin.

Alle 60 Pakete senden die gesammelten Daten an denselben Discord-Webhook. Socket nennt als Beispiel die Pakete „seatable“ (von bbbb335656), „datamart“ (von sdsds656565) und „seamless-sppmy“ (von cdsfdfafd1232436437), die alle dieselbe bösartige Nutzlast enthalten. Die Verwendung von Discord zur Datenexfiltration ist eine gängige Taktik, da die Einrichtung und Verwaltung für Angreifer einfach ist. Der schädliche Code wird in der Regel durch Post-Install-Skripte ausgeführt – eine nützliche npm-Funktion für legitime Zwecke, aber eine Sicherheitslücke für Angreifer.

Socket geht davon aus, dass die Kampagne weiterhin aktiv ist. „Solange die npm-Registry die bösartigen Pakete nicht entfernt und die zugehörigen Konten nicht sperrt, sind weitere Veröffentlichungen wahrscheinlich.“ Für die Täter ist es erschreckend einfach: „Der Angreifer kann das Skript leicht klonen, die Download-Telemetrie in Echtzeit verfolgen und erneut veröffentlichen.“ Die Tatsache, dass diese Pakete „mehr als 3.000 Installationen ohne Entfernung“ erreicht haben, zeigt deutlich, dass „unauffällige Aufklärung eine effektive Methode ist, um in npm Fuß zu fassen, die auch von anderen nachgeahmt werden könnte.“

Sicherheitsexperten sollten in Zukunft mit keiner Abnahme bösartiger npm-Pakete rechnen. Boychenkos Team prognostiziert: „Da die Registry keine Schutzmechanismen für Post-Install-Hooks bietet, ist mit neuen Wegwerfkonten, neuen Paketen, alternativen Exfiltrationspunkten und möglicherweise größeren Nutzlasten zu rechnen, sobald eine Zielliste erstellt wurde.“ Entwickler und Organisationen sollten ihre Sicherheitsmaßnahmen verstärken. Socket empfiehlt den Einsatz von „Dependency-Scanning-Tools, die Post-Install-Hooks, fest codierte URLs und ungewöhnlich kleine Tarballs aufdecken“. Die Integration robuster Sicherheitspraktiken in jede Phase des Softwareentwicklungszyklus ist unerlässlich. Dazu gehört die Verwendung umfassender Scan-Tools und eine gesunde Skepsis gegenüber unbekannten oder wenig überprüften npm-Paketen.

Quellen: * https://www.developer-tech.com/news/60-malicious-npm-packages-mapping-developer-networks/ * https://x.com/Gadget_Ry/status/1925858016957538490 * https://socket.dev/blog/60-malicious-npm-packages-leak-network-and-host-data * https://www.developer-tech.com/news/ * https://arxiv.org/html/2403.08334v1 * https://thehackernews.com/2025/05/malicious-npm-packages-infect-3200.html * https://dl.acm.org/doi/10.1145/3691620.3695492 * https://securityaffairs.com/172671/malware/malicious-npm-packages-target-ethereum-developers.html * https://www.getsafety.com/blog-posts/russian-hackers-manipulate-npm-to-make-realistic-packages * https://www.sonatype.com/blog/multiple-crypto-packages-hijacked-turned-into-info-stealers