Angriff auf Entwickler: Beliebtes JavaScript-Tool kompromittiert
Ein gezielter Angriff auf das Open-Source-Ökosystem sorgt für Unruhe unter Entwicklern: Nach einem massiven Phishing-Angriff wurden mehrere npm-Pakete manipuliert – darunter auch das weit verbreitete Utility-Tool "is". Sicherheitsforscher warnen vor einer breit angelegten Supply-Chain-Attacke mit weitreichenden Folgen.
Die aktuelle Sicherheitslage im npm-Ökosystem hat sich weiter zugespitzt. Im Rahmen einer laufenden Phishing-Kampagne wurde das populäre npm-Paket "is" mit einem Malware-Loader infiziert. Das Paket zählt rund 2,8 Millionen wöchentliche Downloads und wird in zahlreichen JavaScript-Projekten zur Typprüfung eingesetzt. Bereits zuvor waren mehrere Pakete wie "eslint-config-prettier" und "got-fetch" kompromittiert worden, nachdem Angreifer Zugang zu den npm-Zugangsdaten von Maintainer:innen erlangt hatten.
Vielschichtige Malware, gezielte Angriffe
Im Fall von "is" wurde ein JavaScript-basierter Loader eingebettet, der plattformübergreifend unter Node.js ab Version 12 lauffähig ist. Anders als die DLL-basierte Windows-Malware "Scavenger" in anderen Paketen bleibt die Schadsoftware hier rein in JavaScript umgesetzt. Sie sammelt Systeminformationen, Umgebungsvariablen und öffnet eine WebSocket-Verbindung zu einem entfernten Kontrollserver, über die Angreifer in Echtzeit beliebigen Code ausführen können. Die Malware nutzt stark verschleierten Code und bleibt für klassische Antivirenlösungen schwer erkennbar.
Die kompromittierten Versionen wurden über die offizielle npm-Infrastruktur verteilt und so automatisch in zahlreiche CI/CD-Pipelines und Entwicklerprojekte eingebunden. Besonders kritisch: Die Schadsoftware kann sich durch Überschreiben von Index-Dateien selbst erhalten und erschwert so die Entfernung. Experten raten dringend dazu, nicht nur infizierte Pakete zu entfernen, sondern auch Lockfiles zu prüfen und zurückzusetzen, um eine vollständige Bereinigung sicherzustellen.
Folgen für betroffene Systeme gravierend
Jordan Harband, einer der Maintainer von "is", informierte öffentlich über die Kompromittierung und machte eine unautorisierte Änderung in der Eigentümerliste des Pakets verantwortlich. Der Vorfall zeigt, wie tiefgreifend eine einzige kompromittierte Maintainer-Identität in der Open-Source-Versorgungskette wirken kann. Weitere betroffene Pakete wie "got-fetch" und "@pkgr/core" wurden ebenfalls mit bösartigem Code ausgestattet – meist kurz nach ähnlichen Angriffen auf Entwicklerkonten.
Die Auswirkungen des Angriffs sind bereits deutlich spürbar. Entwickler berichten von Systemmanipulationen bis hin zur Notwendigkeit, komplette Maschinen neu aufzusetzen. So schilderte ein Betroffener auf Hacker News, dass Chrome-Sicherheitsfunktionen deaktiviert wurden und sensible Zugangsdaten möglicherweise abgeflossen sind. In solchen Fällen reicht ein einfaches Downgrade infizierter Pakete nicht aus – vollständige Systemhygiene inklusive Passwort- und SSH-Key-Rotation ist erforderlich.