npm-Trojaner stiehlt aus 80 Krypto-Wallets: Microsoft warnt vor zwei Paketen

Die Angreifer nutzen dabei eine ausgeklügelte Taktik, um Sicherheitskontrollen zu umgehen.

Trojaner tarnt sich als legitime Software

Die Sicherheitsforscher von Microsoft haben die Pakete utils-terminal@3.2.1 und logger-active@3.2.1 identifiziert. Beide enthalten einen Remote Access Trojaner (RAT), der unter dem Benutzernamen hexalpha10 in das npm-Registry hochgeladen wurde. Einmal installiert, verankert sich die Schadsoftware tief im System – unter Windows über die Run-Key-Registry und geplante Tasks, unter Linux via systemd.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book zum Schutz vor Cyberangriffen sichern

Der Trojaner kann Tastatureingaben aufzeichnen, Screenshots erstellen und Daten aus mehr als 15 Webbrowsern sowie 80 verschiedenen Krypto-Wallets extrahieren. Doch damit nicht genug: Auch Telegram-Sitzungen und SSH-Schlüssel stehen im Fokus der Angreifer.

Besonders raffiniert: Die gestohlenen Daten werden über Hugging-Face-Repositories abtransportiert. Die Angreifer tarnen den Datenverkehr als harmlose KI-Entwicklungsaktivität – eine Methode, die herkömmliche Sicherheitslösungen oft übersehen.

Red Hat Cloud-Dienste kompromittiert

Nur wenige Tage zuvor traf es Red Hat. Am 1. Juni gelang es Angreifern, 32 Pakete und 96 verschiedene Versionen des @redhat-cloud-services-Namensraums zu manipulieren. Der Einbruch erfolgte über ein kompromittiertes GitHub-Konto und eine GitHub-Actions-OIDC-Pipeline.

Die dabei eingesetzte Schadsoftware mit dem Namen „Miasma" nutzte einen Preinstall-Hook, um einen Dropper auszuführen. Das Ziel: Multi-Cloud-Zugangsdaten für AWS, Google Cloud Platform und Microsoft Azure stehlen. Auch Kubernetes-Konfigurationen, HashiCorp-Vault-Secrets und GitHub-Tokens waren betroffen.

Branchenkenner schätzen, dass die manipulierten Pakete vor ihrer Entfernung rund 80.000 Mal pro Woche heruntergeladen wurden. Red Hat veröffentlichte am 2. Juni ein Sicherheitsbulletin (RHSB-2026-006) und widerrief die kompromittierten Versionen aus dem npm-Registry. Bislang gibt es keine Hinweise darauf, dass der Schadcode in ausgelieferte Softwareprodukte gelangte.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Gratis-Report zu neuen Cyberrisiken herunterladen

KI-Plattformen als neue Kommandozentrale

Der Einsatz von Hugging Face für die Datenexfiltration zeigt einen strategischen Wandel: Angreifer nutzen zunehmend populäre KI-Plattformen für ihre Command-and-Control-Operationen. Indem sie gestohlene Daten durch den Datenverkehr einer vertrauenswürdigen Plattform schleusen, umgehen sie herkömmliche Sicherheitskontrollen.

Microsoft identifizierte spezifische C2-Infrastruktur im Zusammenhang mit der Kampagne, darunter eine IP-Adresse und eine Domain auf der Render-Plattform.

Die beiden Vorfälle zeigen ein wachsendes Risiko für die gesamte Software-Lieferkette. Während der Red-Hat-Angriff auf hochwertige Cloud-Infrastruktur-Zugangsdaten abzielte, richteten sich die von Microsoft identifizierten Pakete gezielt gegen Krypto-Entwickler und -Investoren. Beide Kampagnen belegen das hohe Maß an Raffinesse, das Angreifer heute auf offene Paket-Repositories anwenden.

de | wissenschaft | 69480688 |