Zahlreiche NPM-Pakete kompromittiert

    NPM-Pakete mit Schadcode

    Angreifer haben Schadcode in mehrere beliebte NPM-Pakete eingeschleust. Betroffen sind vor allem die beliebten Pakete des Entwicklers mit dem Pseudonym Qix, der Opfer einer Phishing-Attacke geworden ist.

    Publik gemacht hat den Angriff die Sicherheitsplattform Aikido. Unter den rund 20 Paketen sind so beliebte Exemplare wie „backslash“, „chalk“, „debug“ und „color-string“. Zusammen erreichen sie nach Angaben von Aikido über 2 Milliarden Downloads pro Woche. Der Schadcode dürfte folglich in zahlreiche Node.js-Anwendungen eingeflossen sein.

    Möglich wurde die Manipulation durch eine erfolgreiche Phishing-Attacke. Getroffen hat sie vor allem den Entwickler Josh Junon alias Qix. Beim Maintainer des Pakets „proto-tinker-wc@0.1.87“ scheint der Angriff ebenfalls erfolgreich verlaufen zu sein – auch dieses Paket enthält den gleichen Schadcode.

    Mehr Infos auf Deutsch

    Fragen Sie jemanden, der sich damit auskennt - am besten nicht den Administrator

    CachyOS - Xfce & Niri / Schenker XMG A726-TXR NBB - Intel Core i7-6700HQ + NVIDIA GeForce GTX 965M
    Archlinux - Qtile & Openbox / ASUS R503C-SX051H - Intel Core i3-2350M + HD-Grafik 3000
    Debian 13 - Xfce / DELL Inspiron 15z - Intel Core i5-3317U + NVIDIA GF117M

    WOW! Also Crypto-Wallet-Seiten, SAAS, usw könnten alle betroffen sein. Das ist krass


    7900X/RX7800XT/64GB | CapRover RS1000 | Yunohost VPS ARM64| unRAID @ N250 - Terramaster D4-320

    Kann davon ausgegangen werden, dass es hier auf Krypto/Wallet abzielt oder hat das Ganze auch Auswirkungen auf andere Pakete? Ich habe da jetzt was gelesen, dass das in Entwickler-Tools steckt (und natürlich mal wieder nicht mal die Hälfte verstanden). Kann ich zB noch synaptic über Debian installieren ohne Gefahr zu laufen?

    Ich finde das erschreckend und wichtig, aber ehrlich gesagt, habe ich jetzt nicht mehr wirklich den Nerv, mir heute noch gefährliches Halbwissen anzulesen. Wenn jemand bitte so freundlich wäre und in meine Wissenslücke einspringen könnte, wäre ich sehr dankbar.

    Quote from Stardenver

    WOW! Also Crypto-Wallet-Seiten, SAAS, usw könnten alle betroffen sein. Das ist krass

    Scheinbar hält sich der Schaden in Grenzen:

    Größter NPM-Angriff in Krypto-Geschichte – Beute: 50 US-Dollar
    Die Aufregung nach dem Krypto-Hack war groß. Nun zeichnet sich jedoch ab, dass es dem Angreifer kaum gelang Gelder abzuschöpfen.
    www.btc-echo.de

    Fragen Sie jemanden, der sich damit auskennt - am besten nicht den Administrator

    CachyOS - Xfce & Niri / Schenker XMG A726-TXR NBB - Intel Core i7-6700HQ + NVIDIA GeForce GTX 965M
    Archlinux - Qtile & Openbox / ASUS R503C-SX051H - Intel Core i3-2350M + HD-Grafik 3000
    Debian 13 - Xfce / DELL Inspiron 15z - Intel Core i5-3317U + NVIDIA GF117M

    Ich bin immer noch nicht viel weiter als in #6. Mein gefährlich angelesenes Halbwissen: unter Linux hängt die Sicherheit stark vom eingesetzten Paketmanagement und gewählten Repositories ab. Um kompromitierte Software frühzeitig zu erkennen könnte man wohl File Integrity Monitoring nutzen. (Obwohl ich nicht weiß, ob mir das was nutzen würde.) Als Beispiele hatte ich da AIDE und Tripwire gesehen. So und Tripwire bekomme ich über - taataa - github.

    Da zitiere ich mich doch mal selbst und bitte damit nochmals um einen Schubs in die richtige Richtung: Betrifft das jetzt die Entwickler oder auch die Endbenutzer?

    Quote from Freydis

    Kann ich zB noch synaptic über Debian installieren ohne Gefahr zu laufen?

    Meistgenutzte Einsatzgebiete von Node.js:

    • Backend für Webanwendungen — besonders für REST-/GraphQL-APIs und Echtzeit-Apps.
    • Echtzeitkommunikation (Chat, WebSockets, Collaboration-Tools).
    • Microservices-Architekturen — kleine, skalierbare Dienste.
    • Server-seitiges Rendering (SSR) für JavaScript-Frameworks (z. B. Next.js, Nuxt).
    • APIs für mobile und Single-Page-Apps (React/Vue/Angular Frontends).
    • Streaming-Anwendungen (Video/Audio/Datei-Streaming).
    • Command-line-Tools und Developer-Utilities (z. B. CLI-Tools, Build-Tools).
    • IoT-Backends — leichtgewichtige Dienste, die viele Verbindungen handhaben.
    • Serverless-Funktionen bei Cloud-Anbietern (AWS Lambda, Google Cloud Functions).

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login