Supply-Chain-Angriff auf Node.js

9. September 2025 um 09:50
  • security
  • breach
  • node.js
  • developer
image
Illustration: Elchinator / Pixabay

Bekannt ist, dass Softwarepakete des Entwicklers Qix kompromittiert wurden, die mehr als zwei Milliarden Mal pro Woche heruntergeladen werden.

Security-Spezialisten haben einen Angriff auf die Lieferkette für Softwarepakete für die weit verbreitete Javascript-Laufzeitumgebung Node.js entdeckt. Erwiesenermassen betroffen sind beliebte Pakete des Open-Source-Entwicklers Qix, darunter chalk, strip-ansi, color-convert und color-name. Insgesamt werden diese Pakete wöchentlich mehr als zwei Milliarden Mal heruntergeladen. Möglicherweise könnten aber auch Pakete anderer Entwickler betroffen sein.
Der oder die Angreifer konnten durch Spearphishing in das npm-Konto (Node Packet Manager) von qix eindringen und so die dort gespeicherten Pakete verändern. Die Veränderungen scheinen hauptsächlich darauf abzuzielen, Kryptowährungen von den PCs der Personen zu entwenden, die die Pakete herunterladen.
Wie dies funktioniert, hat der Security-Experte Jan-David Stärk beschrieben. Demnach beobachtet und manipuliert die Schadsoftware bestimmte Browser-Routinen, um Daten im Webbrowser des Opfers abzufangen. Sie wartet auf Zeichenketten, die wie Wallet-Adressen aussehen, und ersetzt die legitimen Adressen durch andere Adressen, die wohl vom Angreifer kontrolliert werden. Wenn das Opfer zudem eine Überweisung machen will, ersetzt die Schadsoftware die Zieladresse durch eine andere, deren Zeichenkette der Ursprünglichen optisch sehr ähnelt. Dies macht die Entdeckung dieser Manipulationen schwierig.

