Supply-Chain-Angriff auf Javascript weitet sich aus

17. September 2025 um 12:12
Illustration: Erstellt durch Inside IT mit Le Chat

Mindestens 187 npm-Pakete sind mittlerweile kompromittiert. Die eingeschleuste Malware kann in der Art eines Wurms weitere Pakete infizieren.

Der Software-Ingenieur Daniel Pereira hat die Software-Community vor einer grossen Supply-Chain-Infektion gewarnt, die sich via npmjs.com, einer sehr grossen Javascript-Registry auf Github, ausbreitet. Laut Pereira war zunächst das beliebte Paket @ctrl/tinycolor npm mit einer Malware kompromittiert worden. Er warnte alle, dieses Paket nicht zu installieren. Allerdings enthält die Malware einen Mechanismus, um sich selbst fortzupflanzen und andere Pakete zu infizieren, und so war es schon zu spät, um die Ausbreitung schnell einzudämmen.
Wie Pereira erklärt, hatte er zunächst 24 Stunden lang versucht, die Verantwortlichen bei Github zu kontaktieren, bevor er die Öffentlichkeit warnte. Die Github-Leute zu erreichen, sei aber schlicht zu schwierig gewesen.
Das Security-Unternehmen Socket begann nach der Warnung, die Lage zu analysieren, und fand zunächst 40 kompromittierte Pakete. Mittlerweile wurden bereits 187 identifiziert.
Laut 'Bleepingcomputer' befinden sich darunter auch Softwarepakete des renommierten Security-Unternehmens Crowdstrike. Dieses erklärte dem Magazin, dass man die betroffenen Pakete identifiziert und entfernt habe. Zudem seine sämtliche Schlüssel in öffentlichen Registries geändert worden. Das eigene Produkt Falcon Sensor, so versicherte Crowdstrike, verwende diese Pakete nicht und sei deshalb nicht betroffen.
Vor einer Woche wurde ein ähnlicher Angriff auf Pakete für die Laufzeit-Umgebung Node.js bekannt. Möglicherweise stecken die gleichen Täter auch hinter der jetzigen Angriffswelle. Ein Beweis dafür steht aber noch aus.


