Trojaner MicrosoftSystem64: 29 manipulierte npm-Pakete infizieren Entwickler

Die Hackergruppe Contagious Interview nutzt dabei eine ungewöhnliche Taktik: Sie kapert die KI-Plattform HuggingFace für ihre Zwecke.

Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenlosen Report jetzt herunterladen

Infektion über manipulierte Programmierpakete

Der Angriff beginnt schleichend – über den Entwickler-Dienst npm. Das bösartige Paket "js-logger-pack" dient als Einfallstor. Seit April 2026 erschienen 29 verschiedene Versionen davon. Wer es in seine Software einbindet, lädt unbemerkt das 81 Megabyte große Schadprogramm MicrosoftSystem64 herunter.

Die Sicherheitsfirmen JFrog und SafeDep entdeckten zudem weitere verdächtige Pakete: terminal-logger-utils, ts-logger-pack, pretty-logger-utils und pinno-loggers. Alle verfolgen dasselbe Ziel – die Infektion von Entwicklerrechnern.

Umfassende Überwachung und Datendiebstahl

MicrosoftSystem64 ist kein simpler Virus. Der Remote Access Trojan (RAT) basiert auf Node.js v20.18.2 und läuft auf Windows, Linux und macOS gleichermaßen. Mit 24 verschiedenen Fernbefehlen verschaffen sich die Angreifer weitreichende Kontrolle.

Die Schadsoftware durchsucht Systeme nach Kryptowährungs-Wallets, stiehlt SSH-Schlüssel und macht alle 60 Sekunden einen Screenshot – eine lückenlose Überwachung des Opfers. Für die Tastaturprotokollierung nutzt sie systemspezifische Methoden: SetWindowsHookEx auf Windows, CGEventTap auf macOS sowie xinput oder evdev auf Linux.

Besonders im Visier: Kryptowährungen und Zugangsdaten. Das Tool erbeutet Daten aus über 15 verschiedenen Browsern und mehr als 80 Krypto-Wallet-Erweiterungen. Auch Telegram-Sitzungen und SSH-Schlüssel sind nicht sicher.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book zur Cyber-Security sichern

KI-Plattform als Tarnung

Der raffinierte Kniff der Kampagne: Die gestohlenen Daten landen nicht auf dubiosen Servern, sondern auf HuggingFace, einer legitimen Plattform für KI-Entwicklung. Indem sie die Informationen in öffentliche Datensätze einschleusen, umgehen die Hacker herkömmliche Sicherheitsfilter.

Die Sicherheitsforscher identifizierten die HuggingFace-Konten "jpeek998" und "Lordplay" als Teil der Infrastruktur. Alle 24 Stunden aktualisiert sich die Schadsoftware selbst – ebenfalls über HuggingFace.

Die Analyse von SafeDep zeigt: Die Malware nutzt eine WebSocket-basierte Kommandozentrale mit XOR-verschlüsselten Konfigurationen. Zum Zeitpunkt der Untersuchung waren sowohl der Kommandoserver als auch die HuggingFace-Tokens noch aktiv. Für den dauerhaften Verbleib auf infizierten Systemen sorgen plattformspezische Mechanismen – geplante Tasks unter Windows, LaunchAgents auf macOS und systemd auf Linux.

de | wissenschaft | 69440628 |