Jscrambler, Infostealer

npm-Paket Jscrambler: Infostealer klaut Cloud-ZugÀnge in Minuten

Veröffentlicht: 12.07.2026 um 00:22 Uhr, Redaktion boerse-global.de

Manipuliertes Jscrambler-Paket verteilt Rust-basierten Infostealer. Entwickler-Zugangsdaten im Visier der Angreifer.

Jscrambler-Paket im npm-Registry: Infostealer entdeckt
Roter BinĂ€rcode auf einem Bildschirm, symbolisiert Cyber-Bedrohung oder Datenleck. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Die als Version 8.14.0 getarnte Schadsoftware nutzt einen Preinstall-Hook, um einen plattformĂŒbergreifenden Infostealer auszuliefern. Das Ziel: sensible Zugangsdaten aus Entwickler-Systemen abgreifen.

Rust-basierter Datendieb im Detail

Der SchĂ€dling zielt auf Windows, macOS und Linux gleichermaßen ab. Sobald Entwickler das infizierte Paket installieren, aktiviert sich ein Preinstall-Hook und lĂ€dt einen in Rust geschriebenen Infostealer nach. Das Sicherheitsteam von Socket entdeckte die Bedrohung bereits sechs Minuten nach der Veröffentlichung.

Die Schadsoftware arbeitet betriebssystemabhĂ€ngig: Unter Linux lĂ€dt sie eBPF-Programme (Extended Berkeley Packet Filter), wĂ€hrend sie auf Windows und macOS Persistenzmechanismen einrichtet, um dauerhaft auf dem System zu bleiben. Die Kommunikation mit den Angreifern lĂ€uft ĂŒber fest codierte IP-Adressen und das Tor-Netzwerk.

Anzeige

Angriffe auf die digitale Infrastruktur nehmen an KomplexitĂ€t zu, wobei neue KI-Gesetze und technologische Entwicklungen zusĂ€tzliche Risiken fĂŒr Betriebe schaffen. Dieser kostenlose Report klĂ€rt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen mĂŒssen. Neue KI-Gesetze und Cyberrisiken jetzt verstehen

Im Visier der Angreifer stehen hochwertige Zugangsdaten:
- Cloud-Anbieter-ZugĂ€nge fĂŒr AWS, Microsoft Azure und Google Cloud Platform
- KryptowĂ€hrungs-Wallets mit privaten SchlĂŒsseln
- Browser-Passwörter und Sitzungsdaten
- Konfigurationsdateien diverser KI-Tools

Aktuelle Lage und Gegenmaßnahmen

Nach der Entdeckung veröffentlichten die Entwickler die Version 8.15.0, die den Schadcode nicht enthĂ€lt. Allerdings blieb die kompromittierte Version 8.14.0 zunĂ€chst weiterhin im npm-Registry verfĂŒgbar.

Anzeige

Der Schutz sensibler Zugangsdaten erfordert heute mehr als nur technische Barrieren, da Hacker gezielt psychologische Schwachstellen in der Belegschaft ausnutzen. Ein neuer Gratis-Report enthĂŒllt die aktuellen Methoden der Cyberkriminellen – und wie man sie effektiv entlarvt. Gratis Anti-Phishing-Paket fĂŒr Unternehmen herunterladen

Ein Lichtblick: Die aktuelle npm-Version 12 deaktiviert Installationsskripte standardmĂ€ĂŸig. Diese Änderung soll kĂŒnftige Supply-Chain-Angriffe erschweren, die auf Preinstall- und Postinstall-Hooks setzen.

Welle von Registry-Angriffen im Juli 2026

Der Jscrambler-Vorfall ist kein Einzelfall. Noch am selben Tag meldete Injective Labs eine Kompromittierung seiner GitHub-Umgebung. Die Angreifer veröffentlichten eine manipulierte Version des Pakets @injectivelabs/sdk-ts (Version 1.20.21). Der HintertĂŒr-Code war 49 Minuten aktiv und nutzte gefĂ€lschte Telemetrie-Daten, um BIP-39-Seed-Phrasen und private SchlĂŒssel abzugreifen.

Bereits am 10. Juli 2026 wurde das element-data CLI-Tool ĂŒber eine SicherheitslĂŒcke in einem Entwickler-Workflow kompromittiert. Die schadhafte Version 0.23.3 landete sowohl auf PyPI als auch auf Docker und blieb rund zwölf Stunden unentdeckt. Ziel waren Benutzerprofile, Warehouse-Zugangsdaten und SSH-SchlĂŒssel.

Die aktuellen VorfĂ€lle reihen sich in eine Serie von Angriffen ein, die bereits im Mai 2026 begann. Damals waren ĂŒber 170 Pakete betroffen, darunter mehrere SAP-bezogene npm-Pakete. Die Angreifer nutzten gekaperte CI/CD-Workflows, um ihre schadhaften Payloads zu verteilen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wissenschaft | 69748243 |