Erfolgreicher Phishing-Angriff auf NPM–mit geringem Profit für die Hacker
Ein Hackerangriff gewaltigen Ausmaßes hat die Lieferkette des NPM-Ökosystems getroffen. Rund 10 Prozent aller Cloud-Umgebungen wurden dabei kompromittiert. Gelohnt hat sich das für die Hacker nicht.
(PresseBox) - Auch Profis sind nicht davor gefeit, auf ausgeklügelte Phishing-Angriffe hereinzufallen. Das hat ein Vorfall in der vergangenen Woche eindrücklich bewiesen. Der Entwickler Josh Junon, auch bekannt unter dem Kürzel Qix, erhielt per E-Mail die Aufforderung, seine 2-Faktor-Authentifizierung für den NPM-Paket-Manager zurückzusetzen. Absender war eine gefälschte E-Mail-Adresse, die sich als NPM-Support getarnt hatte. Dieser Aufforderung kam Junon nach – und ermöglichte so den Angreifern Zugang zu seinem Konto.
Diese nutzten die Gelegenheit, um 18 sehr beliebte NPM-Pakete mit Schadcode zu infizieren, darunter chalk und degub-js. Insgesamt werden diese Pakete pro Woche rund 2,6 Millionen Mal heruntergeladen. Die so verbreitete Malware sollte sogenanntes Crypto-Jacking ermöglichen. Laut einer Analyse von Security Alliance zielte der injizierte Code auf Browserumgebungen ab, indem er Ethereum- und Solana-Signaturanfragen abfing und Kryptowährungs-Wallet-Adressen durch solche ersetzte, die von den Angreifern kontrolliert wurden.
Der Angriff wurde sehr schnell innerhalb von nur zwei Stunden entdeckt und die betroffenen NPM-Pakete wurden zurückgezogen, doch auch in dieser kurzen Zeit hatten bereits rund 10 Prozent der Cloud-Umgebungen die kompromittierten Dateien heruntergeladen. Hätte es sich bei der verbreiteten Malware um Ransomware oder eine andere Art Schädling gehandelt, hätte der Angriff gigantische Schäden verursachen können – was er jedoch dank der Krypto-Jacking-Taktik der Angreifer nicht tat.
Denn trotz des riesigen Ausmaßes des Angriffs mussten sich die Angreifer mit etwas mehr als 1.000 mageren US-Dollar zufriedengeben. Dabei handelt es sich um Ethereum im Wert von fünf Cent und etwa 20 Dollar einer praktisch unbekannten Memecoin. Da der Angriff offenbar auch das Konto des DuckDB-Maintainer-Accounts beeinträchtigte und die Pakete des Projekts mit demselben Kryptowährungs-Diebstahlcode kompromittierte, kamen auf diesem Weg noch etwa 429 US-Dollar in Ethereum, 46 US-Dollar in Solana und kleine Beträge in BTC, Tron, BCH und LTC mit einem Gesamtwert von 600 US-Dollar zusammen. Ob und wie die Angreifer an dieses Geld herankommen ist fraglich, denn die entsprechenden Wallets wurden gemeldet und damit quasi unbrauchbar.
Nach etwa zwei Stunden war der Zauber bereits vorbei und die betroffenen Versionen der Pakete wurden aus dem NPM-Registry entfernt. Eine Liste der kompromittierten Pakete steht zur Verfügung und Entwickler sollten überprüfen, ob diese in ihren Projekten zum Einsatz kommen. Entsprechende Tools und Anleitungen stehen zur Verfügung.
?
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam einökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Datum: 17.09.2025 - 13:53 Uhr
Sprache: Deutsch
News-ID 2198566
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Felicitas KrausJulia Olmscheid
Stadt:
Neustadt an der Weinstraße
Telefon: +49 (30) 30308089-14+49 (6321) 484460
Kategorie:
IT, New Media & Software
Dieser Fachartikel wurde bisher 8 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Erfolgreicher Phishing-Angriff auf NPM–mit geringem Profit für die Hacker"
steht unter der journalistisch-redaktionellen Verantwortung von
8com GmbH&Co. KG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).