Microsoft, Schadpakete

npm-Sicherheit: Microsoft findet 45 Schadpakete in der Registry

30.05.2026 - 23:23:06 | boerse-global.de

Sicherheitsforscher von Microsoft identifizieren 45 bösartige npm-Pakete, die Entwickler-Zugangsdaten stehlen und Unternehmensnetzwerke infiltrieren.

npm-Sicherheit: Microsoft findet 45 Schadpakete in der Registry - Foto: ĂĽber boerse-global.de
npm-Sicherheit: Microsoft findet 45 Schadpakete in der Registry - Foto: ĂĽber boerse-global.de

Die Kampagnen zielen gezielt auf Entwickler ab, um Zugangsdaten zu stehlen und Unternehmensnetzwerke zu infiltrieren.

Die Angreifer nutzen zwei bewährte Methoden: Dependency Confusion und Typosquatting. Damit schleusen sie manipulierte Bibliotheken in die Software-Lieferkette ein. Besonders betroffen sind Cloud-Infrastrukturen und CI/CD-Pipelines.

Anzeige

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenlosen Sicherheits-Ratgeber herunterladen

45 Schadpakete mit Systemprofilierung

Am heutigen Samstag veröffentlichte Microsoft die Analyse von 45 bösartigen Paketen aus neun Namensräumen. Darunter finden sich scheinbar harmlose Namen wie @cloudplatform-single-spa, @wb-track und @sber-ecom-core.

Die Taktik: Die Pakete tragen extrem hohe Versionsnummern wie 100.100.100. Dadurch priorisieren Paketmanager sie automatisch vor internen Unternehmensbibliotheken. Ein klassischer Dependency-Confusion-Angriff.

Microsoft fĂĽhrt die Kampagne auf drei Maintainer-Konten zurĂĽck: mr.4nd3r50n, ce-rwb und t-in-one. Die Zuordnung gelang ĂĽber eine gemeinsame Kommando- und Kontrollinfrastruktur (C2). Alle Pakete nutzen denselben Authentifizierungs-Header.

Das erste dieser Pakete tauchte bereits im April 2024 auf – damals noch ohne Schadfunktion. Erst im Mai 2026 fügte der Betreiber die bösartige Logik hinzu.

So funktioniert der Angriff: Ein Postinstall-Hook lädt ein 17 KB großes JavaScript-Payload herunter. Dieses arbeitet derzeit im Aufklärungsmodus: Es sammelt Systeminformationen, Hostnamen und Umgebungsvariablen. Die Architektur erlaubt es dem Angreifer jedoch, jederzeit auf einen vollständigen Exploit-Modus umzuschalten – etwa zur Datenexfiltration oder zum Diebstahl von Anmeldedaten.

Typosquatting gegen Cloud-Zugänge

Bereits am Donnerstag dieser Woche hatte Microsoft eine zweite Kampagne offengelegt. Ein Angreifer mit dem Handle vpmdhaj veröffentlichte 14 bösartige npm-Pakete. Diese imitierten durch Typosquatting legitime OpenSearch- und Elasticsearch-Bibliotheken.

Das Ziel: sensible Cloud- und CI/CD-Geheimnisse. Die Angreifer setzten zwei Generationen von Schadsoftware ein. Die erste nutzte einen HTTP-basierten C2-Server. Die zweite lud eine legitime Bun-Runtime herunter, um einen 195 KB groĂźen Credential-Harvester auszufĂĽhren.

Anzeige

Neue Cyberrisiken erfordern neue Abwehrmethoden, um sensible Unternehmensdaten vor dem Zugriff Unbefugter zu schützen. Dieser kostenlose Report klärt auf, welche Bedrohungen Unternehmer jetzt kennen müssen und wie sie ihre IT-Sicherheit stärken. Cyber Security Awareness Guide gratis sichern

Dieser Harvester scannte gezielt nach:

  • AWS-Anmeldedaten – einschlieĂźlich IMDSv2, ECS und Secrets Manager in ĂĽber 16 Regionen
  • HashiCorp Vault-Tokens
  • GitHub Actions-Secrets
  • npm-Publish-Tokens

Die gestohlenen Tokens ermöglichen laterale Bewegungen in Cloud-Umgebungen. Sicherheitsanalysten warnen: Das könnte weitere Angriffe auf die Lieferkette nach sich ziehen. Die betroffenen Pakete wurden inzwischen aus der npm-Registry entfernt.

Botnetz zerschlagen – und weitere Bedrohungen

Die aktuellen Enthüllungen reihen sich in eine Serie von Sicherheitsvorfällen im Entwickler-Ökosystem ein. Am Dienstag dieser Woche zerschlugen CrowdStrike, Google und Shadowserver das Glassworm-Botnetz. Seit Anfang 2025 aktiv, zielte es auf Entwickler – durch trojanisierte VS-Code-Erweiterungen und Schadpakete in 300 GitHub-Repositories. Ungewöhnlich: Glassworm nutzte die Solana-Blockchain und Google Kalender als C2-Kanäle.

Forscher dokumentierten zudem die "TrapDoor"-Kampagne. Sie platzierte ĂĽber 34 Schadpakete auf npm, PyPI und Crates.io. Die Angreifer kaperten KI-Konfigurationsdateien wie .cursorrules und CLAUDE.md. Ziel: ZukĂĽnftige KI-gestĂĽtzte Codierungs-Sessions zu beeinflussen.

Anfang Mai wurde das TanStack-Ökosystem kompromittiert. Ein Angreifer injizierte 42 Paketen Schadcode – über einen Cache-Poisoning-Angriff auf GitHub Actions. Er extrahierte OIDC-Tokens aus dem Runner-Speicher und veröffentlichte Pakete mit gültiger Herkunftsbescheinigung.

Was Entwickler jetzt tun sollten

Sicherheitsbehörden empfehlen: Alle potenziell gefährdeten Zugangsdaten rotieren. Striktere Egress-Filter implementieren, um Kommunikation mit bekannten schädlichen Domains zu blockieren. Die aktuellen Kampagnen zeigen: Die Angriffe auf die Software-Lieferkette werden professioneller und zielgerichteter.

Wirtschaftsnachrichten lesen ist gut - trading-notes lesen ist besser!

Wirtschaftsnachrichten lesen ist gut - <b>trading-notes</b> lesen ist besser!
Seit 2005 liefert der Börsenbrief trading-notes verlässliche Anlage-Empfehlungen – dreimal pro Woche, direkt ins Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr. Jetzt abonnieren.
FĂĽr. Immer. Kostenlos.
de | wirtschaft | 69450976 |