npm-Paket Jscrambler: Infostealer klaut Cloud-Zugänge in Minuten
Veröffentlicht: 12.07.2026 um 00:22 Uhr, Redaktion boerse-global.de
Die als Version 8.14.0 getarnte Schadsoftware nutzt einen Preinstall-Hook, um einen plattformübergreifenden Infostealer auszuliefern. Das Ziel: sensible Zugangsdaten aus Entwickler-Systemen abgreifen.
Rust-basierter Datendieb im Detail
Der Schädling zielt auf Windows, macOS und Linux gleichermaßen ab. Sobald Entwickler das infizierte Paket installieren, aktiviert sich ein Preinstall-Hook und lädt einen in Rust geschriebenen Infostealer nach. Das Sicherheitsteam von Socket entdeckte die Bedrohung bereits sechs Minuten nach der Veröffentlichung.
Die Schadsoftware arbeitet betriebssystemabhängig: Unter Linux lädt sie eBPF-Programme (Extended Berkeley Packet Filter), während sie auf Windows und macOS Persistenzmechanismen einrichtet, um dauerhaft auf dem System zu bleiben. Die Kommunikation mit den Angreifern läuft über fest codierte IP-Adressen und das Tor-Netzwerk.
Angriffe auf die digitale Infrastruktur nehmen an Komplexität zu, wobei neue KI-Gesetze und technologische Entwicklungen zusätzliche Risiken für Betriebe schaffen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Neue KI-Gesetze und Cyberrisiken jetzt verstehen
Im Visier der Angreifer stehen hochwertige Zugangsdaten:
- Cloud-Anbieter-Zugänge für AWS, Microsoft Azure und Google Cloud Platform
- Kryptowährungs-Wallets mit privaten Schlüsseln
- Browser-Passwörter und Sitzungsdaten
- Konfigurationsdateien diverser KI-Tools
Aktuelle Lage und Gegenmaßnahmen
Nach der Entdeckung veröffentlichten die Entwickler die Version 8.15.0, die den Schadcode nicht enthält. Allerdings blieb die kompromittierte Version 8.14.0 zunächst weiterhin im npm-Registry verfügbar.
Der Schutz sensibler Zugangsdaten erfordert heute mehr als nur technische Barrieren, da Hacker gezielt psychologische Schwachstellen in der Belegschaft ausnutzen. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen – und wie man sie effektiv entlarvt. Gratis Anti-Phishing-Paket für Unternehmen herunterladen
Ein Lichtblick: Die aktuelle npm-Version 12 deaktiviert Installationsskripte standardmäßig. Diese Änderung soll künftige Supply-Chain-Angriffe erschweren, die auf Preinstall- und Postinstall-Hooks setzen.
Welle von Registry-Angriffen im Juli 2026
Der Jscrambler-Vorfall ist kein Einzelfall. Noch am selben Tag meldete Injective Labs eine Kompromittierung seiner GitHub-Umgebung. Die Angreifer veröffentlichten eine manipulierte Version des Pakets @injectivelabs/sdk-ts (Version 1.20.21). Der Hintertür-Code war 49 Minuten aktiv und nutzte gefälschte Telemetrie-Daten, um BIP-39-Seed-Phrasen und private Schlüssel abzugreifen.
Bereits am 10. Juli 2026 wurde das element-data CLI-Tool über eine Sicherheitslücke in einem Entwickler-Workflow kompromittiert. Die schadhafte Version 0.23.3 landete sowohl auf PyPI als auch auf Docker und blieb rund zwölf Stunden unentdeckt. Ziel waren Benutzerprofile, Warehouse-Zugangsdaten und SSH-Schlüssel.
Die aktuellen Vorfälle reihen sich in eine Serie von Angriffen ein, die bereits im Mai 2026 begann. Damals waren über 170 Pakete betroffen, darunter mehrere SAP-bezogene npm-Pakete. Die Angreifer nutzten gekaperte CI/CD-Workflows, um ihre schadhaften Payloads zu verteilen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
