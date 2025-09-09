Ein massiver Supply-Chain-Angriff hat das npm-Repository, das zentrale Paketregister für Javascript, erschüttert. Unbekannte Angreifer:innen schleusten Schadcode in fast zwei Dutzend populäre Open-Source-Pakete ein, darunter essenzielle Werkzeuge wie „chalk“ und „debug“, die zusammen auf über zwei Milliarden wöchentliche Downloads kommen. Der Angriff verdeutlicht einmal mehr die fragilen Strukturen, auf denen große Teile der modernen Softwareentwicklung basieren.

Einfallstor war der kompromittierte Account des erfahrenen Entwicklers Josh Junon, in der Szene bekannt unter dem Pseudonym „Qix“. Wie Ars Technica berichtet, fiel Junon auf eine Phishing-Mail herein. Diese forderte ihn unter dem Vorwand einer nötigen Sicherheitsaktualisierung auf, seine Zugangsdaten inklusive des zweiten Faktors zu erneuern.

Eine fast perfekte Täuschung

Die E-Mail stammte von der Domain npmjs.help , die erst wenige Tage zuvor registriert wurde, um die offizielle Adresse von npm, einem Tochterunternehmen von Github aus San Francisco, zu imitieren. Nach der erfolgreichen Übernahme des Accounts veröffentlichten die Angreifer:innen umgehend manipulierte Versionen der von Junon verwalteten Pakete.

Der eingeschleuste Schadcode ist perfide und zielgerichtet. Einmal auf einem System aktiv, das eine kompromittierte Webseite ausliefert, klinkt er sich in den Browser ein und überwacht den Netzwerkverkehr. Die Sicherheitsanalyst:innen des belgischen Unternehmens Aikido Security legen in einem Beitrag dar, dass die Malware speziell auf Transaktionen mit Kryptowährungen wie Bitcoin, Ethereum oder Solana wartet.

Wird eine solche Transaktion erkannt, ersetzt der Code im Hintergrund die Wallet-Adresse der Empfänger:innen durch eine von den Angreifer:innen kontrollierte Adresse. Für die Nutzer:innen der kompromittierten Webseiten ist der Betrug kaum zu erkennen, da die Manipulation auf einer tiefen technischen Ebene stattfindet.

Das schwächste Glied in der Kette

Der betroffene Entwickler zeigte sich auf sozialen Netzwerken zerknirscht. „Sorry an alle, ich hätte besser aufpassen müssen“, schrieb Junon. Er habe eine stressige Woche gehabt und sei untypischerweise unachtsam gewesen. Seine Offenheit wirft ein Schlaglicht auf die menschliche Komponente in der IT-Sicherheit. Selbst robuste technische Schutzmaßnahmen wie die Zwei-Faktor-Authentifizierung (2FA) können durch gezieltes Social Engineering umgangen werden.

Der Vorfall ist kein Einzelfall, sondern reiht sich ein in eine wachsende Zahl von Supply-Chain-Angriffen, die das Vertrauen in das Open-Source-Ökosystem untergraben. Die Stärke dieser Systeme liegt in der kollaborativen Arbeit von Tausenden Freiwilligen. Ihre Schattenseite ist jedoch die Abhängigkeit von einzelnen Maintainer:innen, die zu einem zentralen Angriffspunkt werden können. Es stellt sich die systemische Frage, wie die Gemeinschaft solch kritische Infrastrukturprojekte besser absichern kann.

