npm-Paket jscrambler manipuliert: Rust-Infostealer stiehlt Cloud-Zugänge
Veröffentlicht: 12.07.2026 um 14:33 Uhr, Redaktion boerse-global.de
Die als ChocoPoC getaufte Schadsoftware tarnt sich als legitime Proof-of-Concept-Exploits auf GitHub und nutzt die Gier nach frischen Sicherheitslücken aus.
Gefährliche Tarnung als Python-Abhängigkeit
Der ChocoPoC-Trojaner verbirgt sich in einem Python-Paket namens „frint". Lädt ein Forscher ein infiziertes Repository herunter, aktiviert „frint" eine zweite Komponente namens „skytext". Diese wiederum führt die eigentliche Schadsoftware aus – „gradient.so" auf Linux-Systemen, „gradient.pyd" auf Windows-Rechnern.
Besonders perfide: Die Malware zündet nur, wenn sie eine Datei namens „EXPLOIT_POC.py" im Ausführungsumfeld findet. So umgeht sie automatisierte Sicherheitssandboxes, die verdächtige Programme isoliert testen. Einmal aktiv, stiehlt der Trojaner Browserdaten, gespeicherte Passwörter und lokale Dateien – und gewährt den Angreifern Fernzugriff auf das infizierte System.
Angriffswelle auf die Sicherheitsbranche
Die Attacke folgt einem besorgniserregenden Trend. Bereits bekannte Gruppen wie die Lazarus-Gruppe und die MUT-1244-Kampagne setzen auf ähnliche Methoden, um genau jene Menschen zu infiltrieren, die eigentlich Sicherheitslücken schließen sollen.
NPM-Paket kompromittiert: Lieferkette in Gefahr
Parallel dazu wurde am 11. Juli 2026 bekannt, dass Version 8.14.0 des npm-Pakets „jscrambler" manipuliert wurde. Die manipulierte Version enthielt einen Preinstall-Hook, der einen Rust-basierten Infostealer nachlud.
Dieser Infostealer zielt auf ein breites Spektrum sensibler Daten ab:
- Anmeldedaten für Cloud-Dienste wie AWS, Azure und Google Cloud Platform
- Kryptowährungs-Wallets
- Konfigurationsdateien für KI-Tools
Angriffe auf die IT-Infrastruktur und Cloud-Dienste zeigen, wie wichtig eine proaktive Absicherung gegen moderne Bedrohungen heute ist. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit stärken ohne teure Investitionen
Obwohl Version 8.15.0 als bereinigtes Update veröffentlicht wurde, blieb die kompromittierte Version im npm-Registry verfügbar – ein erhebliches Sicherheitsrisiko für Entwickler.
Geisterkonten auf GitHub: Massenhafte Ausspähung
Forscher von Datadog deckten am 11. Juli auf, dass mehr als 50 „Ghost Accounts" auf GitHub seit Oktober 2025 eine massive Aufklärungsoperation durchführen. Diese Konten blieben jahrelang inaktiv, bevor sie reaktiviert wurden. Sie missbrauchen die GitHub-API, um Organisationen, Mitglieder und Repositories auszuspähen. Die Aktivität wird mit parallelen Kampagnen in Verbindung gebracht, die kompromittierte Tokens nutzen, um private Repositories zu klonen.
MODBEACON: Neue Rust-Bedrohung aus Asien
In Asien wurde die Silver-Fox-Gruppe mit einem neuen Rust-basierten Tool namens MODBEACON identifiziert. Die Malware wird über gefälschte Software-Installer verbreitet und nutzt gRPC-Streaming für verschlüsselte Command-and-Control-Kommunikation. Ziel sind die Technologie- und Bildungssektoren.
Langzeitkampagne gegen pakistanische Strafverfolgung
Die zunehmende Professionalisierung von Cyberkriminellen und neue technologische Risiken fordern von Unternehmen eine ständige Wachsamkeit. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Aktuellen Cyber Security Report kostenlos herunterladen
In einer separaten, langjährigen Kampagne von Februar 2024 bis April 2026 griffen mit China und Indien in Verbindung gebrachte Akteure die pakistanische Polizei an. Sie kompromittierten ein Complaint Management System und schleusten verschiedene Schadprogramme wie PlugX und AsyncRAT ein. Die Angriffe betrafen biometrische Daten und Bürgerinformationen in mehreren Polizeibezirken.
Die aktuellen Vorfälle zeigen: Die Sicherheitsbranche selbst ist zum bevorzugten Ziel geworden. Wer nach Schwachstellen sucht, muss heute mehr denn je auf die eigenen Werkzeuge achten.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
