|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

Erfolgreicher Phishing-Angriff auf NPM – mit geringem Profit für die Hacker

17. September 2025

Auch Profis sind nicht davor gefeit, auf ausgeklügelte Phishing-Angriffe hereinzufallen. Das hat ein Vorfall in der vergangenen Woche eindrücklich bewiesen. Der Entwickler Josh Junon, auch bekannt unter dem Kürzel Qix, erhielt per E-Mail die Aufforderung, seine 2-Faktor-Authentifizierung für den NPM-Paket-Manager zurückzusetzen. Absender war eine gefälschte E-Mail-Adresse, die sich als NPM-Support getarnt hatte. Dieser Aufforderung kam Junon nach – und ermöglichte so den Angreifern Zugang zu seinem Konto.

Diese nutzten die Gelegenheit, um 18 sehr beliebte NPM-Pakete mit Schadcode zu infizieren, darunter chalk und degub-js. Insgesamt werden diese Pakete pro Woche rund 2,6 Millionen Mal heruntergeladen. Die so verbreitete Malware sollte sogenanntes Crypto-Jacking ermöglichen. Laut einer Analyse von Security Alliance zielte der injizierte Code auf Browserumgebungen ab, indem er Ethereum- und Solana-Signaturanfragen abfing und Kryptowährungs-Wallet-Adressen durch solche ersetzte, die von den Angreifern kontrolliert wurden.

Der Angriff wurde sehr schnell innerhalb von nur zwei Stunden entdeckt und die betroffenen NPM-Pakete wurden zurückgezogen, doch auch in dieser kurzen Zeit hatten bereits rund 10 Prozent der Cloud-Umgebungen die kompromittierten Dateien heruntergeladen. Hätte es sich bei der verbreiteten Malware um Ransomware oder eine andere Art Schädling gehandelt, hätte der Angriff gigantische Schäden verursachen können – was er jedoch dank der Krypto-Jacking-Taktik der Angreifer nicht tat.

Denn trotz des riesigen Ausmaßes des Angriffs mussten sich die Angreifer mit etwas mehr als 1.000 mageren US-Dollar zufriedengeben. Dabei handelt es sich um Ethereum im Wert von fünf Cent und etwa 20 Dollar einer praktisch unbekannten Memecoin. Da der Angriff offenbar auch das Konto des DuckDB-Maintainer-Accounts beeinträchtigte und die Pakete des Projekts mit demselben Kryptowährungs-Diebstahlcode kompromittierte, kamen auf diesem Weg noch etwa 429 US-Dollar in Ethereum, 46 US-Dollar in Solana und kleine Beträge in BTC, Tron, BCH und LTC mit einem Gesamtwert von 600 US-Dollar zusammen. Ob und wie die Angreifer an dieses Geld herankommen ist fraglich, denn die entsprechenden Wallets wurden gemeldet und damit quasi unbrauchbar.

Nach etwa zwei Stunden war der Zauber bereits vorbei und die betroffenen Versionen der Pakete wurden aus dem NPM-Registry entfernt. Eine Liste der kompromittierten Pakete steht zur Verfügung und Entwickler sollten überprüfen, ob diese in ihren Projekten zum Einsatz kommen. Entsprechende Tools und Anleitungen stehen zur Verfügung.

Bild (c) Dilok / Adobe Stock

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
8com easySOC
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
SAP Security
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Jobs
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen
Logo Bündnis für DemokratieLogo Bündnis für DemokratieLogo Bündnis für Demokratie