{"id":315812,"date":"2025-09-17T10:18:11","date_gmt":"2025-09-17T08:18:11","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=315812"},"modified":"2025-09-19T17:23:05","modified_gmt":"2025-09-19T15:23:05","slug":"der-npm-angriff-geht-weiter-wurm-infiziert-pakete","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/09\/17\/der-npm-angriff-geht-weiter-wurm-infiziert-pakete\/","title":{"rendered":"Der npm-Angriff geht weiter – \"Wurm\" infiziert Pakete"},"content":{"rendered":"

\"SicherheitDer Lieferkettenangriff auf ein npm-Entwicklerkonto und 18 kompromittierten Paketen schien glimpflich ausgegangen zu sein. Jetzt wird bekannt, dass die Angriffe (\u00fcber ein anderes Konto) weitergehen und eine selbstreplizierende Malware (Shai-Hulud) bereits mehr als 500 npm-Pakete infiziert hat. Dieses Mal sind @ctrl\/tinycolor<\/em> und mehrere andere npm-Pakete mit Malware zum Diebstahl von Anmeldedaten das Ziel.<\/p>\n

<\/p>\n

R\u00fcckblick auf den npm-Hack<\/h2>\n

\"\"Zum 8. September 2025 wurde bekannt, dass 18 npm-Pakete durch einen Angriff kompromittiert wurden.\u00a0npm<\/a>\u00a0(Node Package Manager<\/i>) ist ein Paketmanager f\u00fcr die JavaScript-Laufzeitumgebung\u00a0Node.js<\/em>, \u00fcber den Javascript-Pakete verteilt werden.\u00a0Diese Javascript-Pakete werden in zahlreichen Web-Projekten eingesetzt und kommen auf viele Hundert Millionen w\u00f6chentliche Downloads.<\/p>\n

Der Hack wurde m\u00f6glich, weil der popul\u00e4re Entwickler\u00a0qix<\/a> (Josh Junon) auf eine simple Phishing-Masche hereingefallen war (qix hat das hier best\u00e4tigt<\/a>). Nachdem der Entwickler seine Zugangsdaten auf der Phishing-Seite eingegeben hatte, konnte der Angreifer das Konto \u00fcbernehmen und den Entwickler aussperren.<\/p>\n

Der (oder die) Angreifer konnten in 18 npm-Paketen b\u00f6sartigen Code einschleusen. Es ging dem Angreifer darum, Krypto-Wallets um Guthaben zu erleichtern.\u00a0Ich hatte den Sachverhalt im Blogbeitrag npm-Hack: Konto gehackt; 18 npm-Pakete mit Millionen Downloads kompromittiert<\/a> aufgegriffen. Bei diesem Vorfall konnten der oder die Angreifer aber keinen wirklichen finanziellen Vorteil aus dem Lieferkettenangriff ziehen, wie ich im Beitrag npm-Hack: Angreifer schauen weitgehend in die R\u00f6hre<\/a> berichten konnte.<\/p>\n

npm-Lieferkettenangriff geht weiter<\/h2>\n

Leider ist das Thema damit nicht beendet (bef\u00fcrchtet hatte ich es insgeheim). Momentan \u00fcberschlagen sich die Nachrichten. Die Kollegen von Bleeping Computer berichten in nachfolgendem Tweet und in diesem Artikel<\/a>, dass es eine neue, wurmartig sich selbst verbreitende Malware-Kampagne gebe, die sich \u00fcber npm-Pakete verbreite.<\/p>\n

\"npm-Angriff<\/p>\n

Die koordinierte, wurmartige Kampagne mit dem Namen \"Shai-Hulud\" habe zum 15. September 2025 mit der Kompromittierung des npm-Pakets @ctrl\/tinycolor begonnen (wird w\u00f6chentlich \u00fcber 2 Millionen Mal heruntergeladen).<\/p>\n

Analysen zum Angriff<\/h3>\n

Erg\u00e4nzungen:<\/strong> Mir war dieser Beitrag<\/a> dazu bereits unter die Augen gekommen, ohne dass ich die Bedeutung sofort erkannte. Seit dem frisst sich der Angriff durch das npm-Repository und hat bereits 187 npm nachweisbar infiziert. Eine Analyse gibt es hier<\/a>.<\/p>\n

Dieser Lieferkettenangriff scheint von einem Entwicklerkonto @scttcper von Scott Cooper ausgegangen zu sein, wie man bei GetSafety in diesem Beitrag<\/a> nachlesen kann. Scott Cooper soll angeblich nicht wissen, wie er gehackt wurde, best\u00e4tigte aber die Kompromittierung seines Entwicklerkontos.<\/p>\n

Im GetSafety-Beitrag werden auch kompromittierte Pakete aufgelistet, und es gibt eine detaillierte Analyse samt einer Liste von Indicators of Compromise (IoCs). Entwickler von npm-Paketen sollten daher in den logs nachsehen, ob es Zugriffe von Dritten gab und ob die Pakete kompromittiert sind.<\/p>\n

Wer npm-Pakete (als Entwickler) einsetzt, k\u00f6nnten \u00fcber die Indicators of Compromise (IoCs) schauen, ob dort eine Kompromittierung in den Repositories nachweisbar ist. Noch ist die Hoffnung, dass der Schadcode nicht in Endanwendungen in der Cloud geraten ist. Eine Anleitung, wie man die missbrauchte TruffelHog-Komponente finden kann, findet sich hier<\/a>.<\/p>\n

Inzwischen hat heise diesen deutschsprachigen Beitrag<\/a> mit einigen zus\u00e4tzlichen Hinweisen ver\u00f6ffentlicht. Aktuell sind Entwickler, die npm-Pakete nutzen, gefragt. Diese m\u00fcssten ihre Pakete inspizieren und bekannte, malwarefreie Versionen der Pakete pinnen.<\/p>\n

Fun Fact am Rande: Aktuell ist der Kanal, der zur Exfiltration genutzt wurde, momentan gesperrt. Die Angreifer haben ein kostenloses Konto der Webseite webhook.site<\/em> f\u00fcr ihre Zwecke missbraucht. Dann war das Kontingent f\u00fcr den Traffic aufgebraucht und das Konto gesperrt. Es k\u00f6nnte also sein, dass auch dieser Angriff am Ende des Tages glimpflich ausgeht.<\/p>\n

CrowsStrike npm-Paket kompromittiert<\/h3>\n

Mir ist folgender Tweet untergekommen, der auf diesen Artikel<\/a> verweist und berichtet, dass das npm-Paket von CrowdStrike (Cybersicherheits-Anbieter) kompromittiert worden sei – ich gehe davon aus, dass nur die Entwicklerversion betroffen ist.<\/p>\n

\"CrowsStrike<\/a><\/p>\n

Der Anbieter war ja durch den CrowdStrike-Vorfall, der Millionen Windows-Systeme lahm gelegt hatte, aufgefallen (siehe die unter CrowdStrike-Nachlese: Neuer Bericht, aktueller Status, Klagen und deren Konter<\/a> verlinkten Beitr\u00e4ge). Bleeping Computer hat zu CrowdStrike noch einige Informationen im oben verlinkten Beitrag zusammen getragen.<\/p>\n

Erg\u00e4nzung:<\/strong> Von CrowdStrike bzw. von deren deutscher Pressebetreuung ist mir bereits folgendes Statement zugegangen.<\/p>\n

\u201eNachdem wir mehrere b\u00f6sartige Node Package Manager (NPM)-Pakete in der \u00f6ffentlichen NPM-Registrierung, einem Open-Source-Repository eines Drittanbieters, entdeckt hatten, haben wir diese umgehend entfernt und unsere Schl\u00fcssel in \u00f6ffentlichen Registrierungen proaktiv rotiert. Diese Pakete werden im Falcon-Sensor nicht verwendet und die Plattform ist nicht betroffen. Wir haben die einzelne Quelle identifiziert und schnell isoliert. Kunden bleiben gesch\u00fctzt und m\u00fcssen keine Ma\u00dfnahmen ergreifen.\" <\/em><\/p>\n

\u2013 CrowdStrike<\/p><\/blockquote>\n

Erg\u00e4nzung 2: Auf X ist mir nachfolgender Tweet<\/a> mit der Liste der kompromittierten CrowdStrike npm-Pakete untergekommen.<\/p>\n

\"CrowdStrike<\/a><\/p>\n

Bereits 370 Pakete betroffen?<\/h3>\n

Denn ist mir gerade in meinem X-Profil nachfolgender Tweet<\/a> von Steven Lim untergekommen. Lim schreibt, dass der Shai-hulud-npm-Wurm sich rasch verbreitet, indem er Entwicklerkonten kompromittiert und Malware in Pakete einschleust, die Cloud-Token und Secrets exfiltrieren.<\/p>\n

\"MDM<\/a><\/p>\n

Er gibt an, SHA1-Hashes aus \u00fcber 370 infizierten npm-Paketen extrahiert und einen DefenderXDR FileProfile-Scan in der MDE-Umgebung durchgef\u00fchrt zu haben. Er listet f\u00fcnf npm-Pakete mit der weltweit h\u00f6chsten Verbreitung in obigem Screenshot auf. Obwohl es sich um einen schwerwiegenden Versto\u00df handelt, scheinen die Auswirkungen aufgrund der Verbreitungsdaten insgesamt begrenzt zu sein, schreibt er.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nnpm-Hack: Konto gehackt; 18 npm-Pakete mit Millionen Downloads kompromittiert<\/a>
\nnpm-Hack: Angreifer schauen weitgehend in die R\u00f6hre<\/a>
\nEntwickler sabotiert Open Source Module colors.js und faker.js in NPM, betrifft Tausende Projekte<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Der Lieferkettenangriff auf ein npm-Entwicklerkonto und 18 kompromittierten Paketen schien glimpflich ausgegangen zu sein. Jetzt wird bekannt, dass die Angriffe (\u00fcber ein anderes Konto) weitergehen und eine selbstreplizierende Malware (Shai-Hulud) bereits mehr als 500 npm-Pakete infiziert hat. Dieses Mal sind … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8537,426,7459],"tags":[8654,24,4328,3836],"class_list":["post-315812","post","type-post","status-publish","format-standard","hentry","category-problem","category-sicherheit","category-software","tag-npm","tag-problem","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315812","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=315812"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315812\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=315812"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=315812"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=315812"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}