npm-Paket Jscrambler: Infostealer klaut Cloud-ZugÀnge in Minuten
Veröffentlicht: 12.07.2026 um 00:22 Uhr, Redaktion boerse-global.de
Die als Version 8.14.0 getarnte Schadsoftware nutzt einen Preinstall-Hook, um einen plattformĂŒbergreifenden Infostealer auszuliefern. Das Ziel: sensible Zugangsdaten aus Entwickler-Systemen abgreifen.
Rust-basierter Datendieb im Detail
Der SchĂ€dling zielt auf Windows, macOS und Linux gleichermaĂen ab. Sobald Entwickler das infizierte Paket installieren, aktiviert sich ein Preinstall-Hook und lĂ€dt einen in Rust geschriebenen Infostealer nach. Das Sicherheitsteam von Socket entdeckte die Bedrohung bereits sechs Minuten nach der Veröffentlichung.
Die Schadsoftware arbeitet betriebssystemabhĂ€ngig: Unter Linux lĂ€dt sie eBPF-Programme (Extended Berkeley Packet Filter), wĂ€hrend sie auf Windows und macOS Persistenzmechanismen einrichtet, um dauerhaft auf dem System zu bleiben. Die Kommunikation mit den Angreifern lĂ€uft ĂŒber fest codierte IP-Adressen und das Tor-Netzwerk.
Angriffe auf die digitale Infrastruktur nehmen an KomplexitĂ€t zu, wobei neue KI-Gesetze und technologische Entwicklungen zusĂ€tzliche Risiken fĂŒr Betriebe schaffen. Dieser kostenlose Report klĂ€rt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen mĂŒssen. Neue KI-Gesetze und Cyberrisiken jetzt verstehen
Im Visier der Angreifer stehen hochwertige Zugangsdaten:
- Cloud-Anbieter-ZugĂ€nge fĂŒr AWS, Microsoft Azure und Google Cloud Platform
- KryptowĂ€hrungs-Wallets mit privaten SchlĂŒsseln
- Browser-Passwörter und Sitzungsdaten
- Konfigurationsdateien diverser KI-Tools
Aktuelle Lage und GegenmaĂnahmen
Nach der Entdeckung veröffentlichten die Entwickler die Version 8.15.0, die den Schadcode nicht enthĂ€lt. Allerdings blieb die kompromittierte Version 8.14.0 zunĂ€chst weiterhin im npm-Registry verfĂŒgbar.
Der Schutz sensibler Zugangsdaten erfordert heute mehr als nur technische Barrieren, da Hacker gezielt psychologische Schwachstellen in der Belegschaft ausnutzen. Ein neuer Gratis-Report enthĂŒllt die aktuellen Methoden der Cyberkriminellen â und wie man sie effektiv entlarvt. Gratis Anti-Phishing-Paket fĂŒr Unternehmen herunterladen
Ein Lichtblick: Die aktuelle npm-Version 12 deaktiviert Installationsskripte standardmĂ€Ăig. Diese Ănderung soll kĂŒnftige Supply-Chain-Angriffe erschweren, die auf Preinstall- und Postinstall-Hooks setzen.
Welle von Registry-Angriffen im Juli 2026
Der Jscrambler-Vorfall ist kein Einzelfall. Noch am selben Tag meldete Injective Labs eine Kompromittierung seiner GitHub-Umgebung. Die Angreifer veröffentlichten eine manipulierte Version des Pakets @injectivelabs/sdk-ts (Version 1.20.21). Der HintertĂŒr-Code war 49 Minuten aktiv und nutzte gefĂ€lschte Telemetrie-Daten, um BIP-39-Seed-Phrasen und private SchlĂŒssel abzugreifen.
Bereits am 10. Juli 2026 wurde das element-data CLI-Tool ĂŒber eine SicherheitslĂŒcke in einem Entwickler-Workflow kompromittiert. Die schadhafte Version 0.23.3 landete sowohl auf PyPI als auch auf Docker und blieb rund zwölf Stunden unentdeckt. Ziel waren Benutzerprofile, Warehouse-Zugangsdaten und SSH-SchlĂŒssel.
Die aktuellen VorfĂ€lle reihen sich in eine Serie von Angriffen ein, die bereits im Mai 2026 begann. Damals waren ĂŒber 170 Pakete betroffen, darunter mehrere SAP-bezogene npm-Pakete. Die Angreifer nutzten gekaperte CI/CD-Workflows, um ihre schadhaften Payloads zu verteilen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Ănderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.
