Jscrambler, Infostealer

npm-Paket Jscrambler: Infostealer klaut Cloud-Zugänge in Minuten

Veröffentlicht: 12.07.2026 um 00:22 Uhr, Redaktion boerse-global.de

Manipuliertes Jscrambler-Paket verteilt Rust-basierten Infostealer. Entwickler-Zugangsdaten im Visier der Angreifer.

Jscrambler-Paket im npm-Registry: Infostealer entdeckt
Roter Binärcode auf einem Bildschirm, symbolisiert Cyber-Bedrohung oder Datenleck. Illustration mit AI erstellt übermittelt durch boerse-global.de

Die als Version 8.14.0 getarnte Schadsoftware nutzt einen Preinstall-Hook, um einen plattformübergreifenden Infostealer auszuliefern. Das Ziel: sensible Zugangsdaten aus Entwickler-Systemen abgreifen.

Rust-basierter Datendieb im Detail

Der Schädling zielt auf Windows, macOS und Linux gleichermaßen ab. Sobald Entwickler das infizierte Paket installieren, aktiviert sich ein Preinstall-Hook und lädt einen in Rust geschriebenen Infostealer nach. Das Sicherheitsteam von Socket entdeckte die Bedrohung bereits sechs Minuten nach der Veröffentlichung.

Die Schadsoftware arbeitet betriebssystemabhängig: Unter Linux lädt sie eBPF-Programme (Extended Berkeley Packet Filter), während sie auf Windows und macOS Persistenzmechanismen einrichtet, um dauerhaft auf dem System zu bleiben. Die Kommunikation mit den Angreifern läuft über fest codierte IP-Adressen und das Tor-Netzwerk.

Anzeige

Angriffe auf die digitale Infrastruktur nehmen an Komplexität zu, wobei neue KI-Gesetze und technologische Entwicklungen zusätzliche Risiken für Betriebe schaffen. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Neue KI-Gesetze und Cyberrisiken jetzt verstehen

Im Visier der Angreifer stehen hochwertige Zugangsdaten:
- Cloud-Anbieter-Zugänge für AWS, Microsoft Azure und Google Cloud Platform
- Kryptowährungs-Wallets mit privaten Schlüsseln
- Browser-Passwörter und Sitzungsdaten
- Konfigurationsdateien diverser KI-Tools

Aktuelle Lage und Gegenmaßnahmen

Nach der Entdeckung veröffentlichten die Entwickler die Version 8.15.0, die den Schadcode nicht enthält. Allerdings blieb die kompromittierte Version 8.14.0 zunächst weiterhin im npm-Registry verfügbar.

Anzeige

Der Schutz sensibler Zugangsdaten erfordert heute mehr als nur technische Barrieren, da Hacker gezielt psychologische Schwachstellen in der Belegschaft ausnutzen. Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen – und wie man sie effektiv entlarvt. Gratis Anti-Phishing-Paket für Unternehmen herunterladen

Ein Lichtblick: Die aktuelle npm-Version 12 deaktiviert Installationsskripte standardmäßig. Diese Änderung soll künftige Supply-Chain-Angriffe erschweren, die auf Preinstall- und Postinstall-Hooks setzen.

Welle von Registry-Angriffen im Juli 2026

Der Jscrambler-Vorfall ist kein Einzelfall. Noch am selben Tag meldete Injective Labs eine Kompromittierung seiner GitHub-Umgebung. Die Angreifer veröffentlichten eine manipulierte Version des Pakets @injectivelabs/sdk-ts (Version 1.20.21). Der Hintertür-Code war 49 Minuten aktiv und nutzte gefälschte Telemetrie-Daten, um BIP-39-Seed-Phrasen und private Schlüssel abzugreifen.

Bereits am 10. Juli 2026 wurde das element-data CLI-Tool über eine Sicherheitslücke in einem Entwickler-Workflow kompromittiert. Die schadhafte Version 0.23.3 landete sowohl auf PyPI als auch auf Docker und blieb rund zwölf Stunden unentdeckt. Ziel waren Benutzerprofile, Warehouse-Zugangsdaten und SSH-Schlüssel.

Die aktuellen Vorfälle reihen sich in eine Serie von Angriffen ein, die bereits im Mai 2026 begann. Damals waren über 170 Pakete betroffen, darunter mehrere SAP-bezogene npm-Pakete. Die Angreifer nutzten gekaperte CI/CD-Workflows, um ihre schadhaften Payloads zu verteilen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69748243 |