ClickFix-Malware nutzt Node.js für schwer erkennbare Angriffe

Eine neue, hochmoderne Schadsoftware-Kampagne setzt auf den Node.js-Framework, um schwer erkennbare Trojaner zu verbreiten. Die als ClickFix bekannte Angriffsmethode umgeht traditionelle Sicherheitsvorkehrungen und bedroht Unternehmen weltweit – auch in Deutschland.

Die raffinierte ClickFix-Falle

Während raffinierte Trojaner wie ClickFix gezielt Windows-Systeme angreifen, bleiben auch mobile Endgeräte ein attraktives Ziel für Cyberkriminelle. Ein kostenloser Experten-Report zeigt, wie Sie sich in wenigen Schritten effektiv vor Spionage und Datenklau schützen. Kostenlosen Sicherheits-Ratgeber herunterladen

Die Bedrohung beginnt harmlos: Nutzer landen auf gefälschten Webseiten, die als legitime Dienste oder Fehlerseiten getarnt sind. Statt eines echten CAPTCHA erscheint ein Knopf, der einen base64-kodierten PowerShell-Befehl in die Zwischenablage kopiert. Das Opfer wird aufgefordert, diesen Befehl manuell im Terminal auszuführen.

Was folgt, ist ein mehrstufiger Infektionsprozess. Der Befehl lädt einen MSI-Installer herunter, der oft als Systemupdate getarnt ist. Das Besondere: Der Installer bringt eine komplette Node.js-Laufzeitumgebung mit. So kann die Malware auf jedem Windows-System laufen – unabhängig davon, ob der Nutzer Entwickler ist oder Node.js bereits installiert hat. Nach der Installation sichert sich die Schadsoftware dauerhaften Zugriff über einen Registry-Key, häufig mit dem Namen LogicOptimizer.

Modularer Speicher-Trojaner: Unsichtbar für Virenscanner

Die wahre Stärke dieses Node.js-Remote-Access-Trojaners (RAT) liegt in seiner modularen Architektur. Die eigentlichen Datendiebstahl- und Kontrollmodule sind nicht im Installer enthalten. Stattdessen arbeitet die Malware fast vollständig im Arbeitsspeicher des Systems.

Wenn der infizierte Rechner Kontakt zum Command-and-Control-Server (C2) aufnimmt, sendet dieser JavaScript-Code als einfache Textstrings. Diese werden dann in einer Node.js-Virtual-Machine-Sandbox auf dem lokalen Rechner ausgeführt. Da die gefährlichsten Komponenten nie die Festplatte berühren, sind herkömmliche Virenscanner, die Dateien prüfen, machtlos.

Die Angreifer können Module für verschiedene Aufgaben nachladen: vom Auslesen von Browser-Passwörtern über die Suche nach Krypto-Wallets bis zur Ausführung beliebiger Systembefehle. Die Kommunikation läuft über das Tor-Netzwerk und das leistungsstarke gRPC-Protokoll, was eine Echtzeit-Steuerung ermöglicht und die Herkunft der Angreifer verschleiert.

Angriffe auf das Fundament des Internets

Diese neue Kampagne folgt einer Serie schwerwiegender Angriffe auf die Open-Source-Supply-Chain im Frühjahr 2026. Bereits Anfang April warnten Forscher vor 36 bösartigen NPM-Paketen, die auf das Strapi-Ökosystem und die Guardarian-Kryptowährungsplattform abzielten.

Ein besonders gravierender Vorfall erschütterte die Community Ende März: Die Kompromittierung der weit verbreiteten Axios-Bibliothek mit über 100 Millionen wöchentlichen Downloads. Der Angriff gelang durch den Diebstahl der Zugangsdaten eines führenden Maintainers.

Seither häufen sich gezielte Social-Engineering-Angriffe auf Maintainer populärer Node.js-Pakete. Angreifer geben sich in LinkedIn und Slack als Recruiter, Marketing-Agenturen oder sogar als Vertreter der Linux Foundation aus. Sie locken Entwickler in gefälschte Video-Konferenzen, wo angebliche technische Probleme mit einem "Reparatur"-Skript behoben werden sollen – das in Wirklichkeit eine ähnliche RAT-Software wie in der ClickFix-Kampagne installiert.

Zu den ins Visier genommenen Zielen gehören laut Berichten die Maintainer essenzieller Pakete wie Lodash, Fastify und Mocha. Damit greifen die Kriminellen die Grundpfeiler der modernen Web-Infrastruktur an.

Malware-as-a-Service: Ein Blick ins Verbrecher-Backend

Dank eines groben Fehlers der Angreifer erhielten Sicherheitsforscher Einblick in die Backend-Infrastruktur der ClickFix-Operation. Die enthüllten Admin-Panels deuten auf eine professionelle Malware-as-a-Service-Plattform (MaaS) hin.

Angreifer nutzen zunehmend psychologische Tricks und technische Sicherheitslücken, um Zugriff auf sensible Unternehmensdaten zu erhalten. Erfahren Sie im kostenlosen Anti-Phishing-Paket, wie Sie Phishing-Angriffe stoppen und Ihr Unternehmen proaktiv absichern. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Das Dashboard zeigt ein ausgeklügeltes Mehrbenutzersystem, in dem verschiedene "Affiliates" Zugang zur Infrastruktur mieten können. Automatisierte Regeln filten Opfer nach Systemeigenschaften: CPU-Typ, Arbeitsspeicher und die Präsenz von über 30 verschiedenen Sicherheitsprodukten wie Windows Defender oder Kaspersky. Ist ein System zu gut geschützt, bleibt die Malware inaktiv, um keine Entdeckung zu riskieren.

Die Plattform ist in Echtzeit mit Telegram verbunden, wo Affiliates Erfolgsmeldungen und Zusammenfassungen gestohlener Daten – besonders zu Kryptowährungen – erhalten. Diese Professionalisierung zeigt: Der modulare Node.js-Trojaner ist kein Werkzeug einer einzelnen Gruppe, sondern ein Produkt, das von einem ausgereiften kriminellen Unternehmen an zahlreiche Partner vertrieben wird.

Herausforderung für die Cybersicherheit

Die Kombination aus Social Engineering, Supply-Chain-Angriffen und modularer Node.js-Malware stellt die Cybersicherheitsbranche vor komplexe Probleme. Die ClickFix-Kampagne ist Mitte April 2026 weiterhin aktiv, täglich werden neue Domains für die gefälschten CAPTCHA-Seiten registriert.

Sicherheitsexperten empfehlen Unternehmen strengere Kontrollen über PowerShell-Ausführungen und die Überwachung nicht-autorisierter Node.js-Installationen in Nicht-Entwicklungsumgebungen. Der trend zu speicherbasierten, modularen Schadprogrammen erfordert zudem, dass traditionelle Endpoint-Security durch verhaltensbasierte Analyse und Netzwerküberwachung ergänzt wird.

Die gezielten Angriffe auf Open-Source-Maintainer unterstreichen eine unbequeme Wahrheit: Die Sicherheit der globalen Software-Lieferkette hängt zunehmend von der Wachsamkeit einzelner Entwickler gegenüber hochgradig personalisierten Social-Engineering-Angriffen ab.

de | boerse | 69117637 |