Heute ist der 16.06.2026 und in der digitalen Welt brodelt es gewaltig. Ein neuer Angriff auf das npm-Ökosystem sorgt für Aufregung. Sicherheitsforscher von JFrog haben 36 legitime Software-Pakete identifiziert, die mit der Malware IronWorm infiziert sind. Diese Malware, programmiert in Rust, zielt auf Entwicklungsumgebungen und Continuous-Integration-Systeme (CI). Klingt schon mal nicht gut, oder? Aber es wird noch schlimmer. IronWorm nutzt ein eBPF-Kernel-Rootkit, um Entdeckungsmechanismen zu umgehen. Das bedeutet, dass die Schadsoftware geschickt im Hintergrund agiert und sich unbemerkt verbreiten kann.

Besonders perfide ist, dass IronWorm gezielt nach sensiblen Konfigurationsdaten sucht. Dazu gehören Zugangsdaten für OpenAI und Anthropic, Cloud-Zertifikate für Amazon Web Services (AWS), npm-Authentifizierungstoken, lokale SSH-Schlüssel und sogar Krypto-Wallet-Dateien der Software Exodus. Die gesammelten Daten werden über das Tor-Netzwerk an die Angreifer weitergeleitet. Das klingt wie aus einem Thriller, ist aber leider bittere Realität. Interessanterweise gibt es auch Ähnlichkeiten zur Schadsoftware-Familie Shai Hulud, die mit der Hackergruppe TeamPCP in Verbindung steht. JFrog hat sogar identische Bezeichnungen für Code-Änderungen in beiden Kampagnen festgestellt.

Die Vorgehensweise der Angreifer

Der Angriff leitete sich von einem kompromittierten npm-Benutzerkonto namens asteroiddao ab. Bösartige Versionen der Software führten bei der Installation ein kompiliertes Linux-Binärprogramm aus. Um ihre Spuren zu verwischen, fälschten die Täter Autorennamen und datierten Zeitstempel um bis zu 13 Jahre zurück. Das ist ein cleverer Trick, um nicht sofort aufzufallen. IronWorm kann sogar Zugangsdaten als harmlose Textausgabe tarnen und in GitHub Actions hochladen. Dieser Übertragungsweg wurde in der aktuellen Kampagne allerdings noch nicht aktiv genutzt. Komischerweise hinterlegten die Malware-Entwickler ihre Wiederherstellungsphrase für die Kryptowährung-Wallet im Programmcode. Das ist schon ein bisschen ironisch, oder?

Die gute Nachricht? Ox Security hat berichtet, dass der Angriff frühzeitig erkannt und herausgefiltert wurde. Betroffenen Entwicklern wird empfohlen, ihre Abhängigkeiten zu aktualisieren, Cloud- und API-Schlüssel zu rotieren und die Zwei-Faktor-Authentifizierung zu aktivieren. Das könnte helfen, die eigenen Systeme zu schützen. Aber das ist nur die halbe Miete. Endor Labs und StepSecurity haben sogar eine parallele Angriffswelle mit einer JavaScript-Malware namens binding.gyp identifiziert, die ebenfalls auf das npm-Register abzielt. Es ist also ein großes Spiel mit vielen Mitspielern.

Lieferkettenangriffe und ihre Gefahren

Jetzt könnte man sich fragen: Was hat das mit uns zu tun? Ein ganz schöner Batzen, der uns hier präsentiert wird. Die Abhängigkeit von Lieferketten ist ein zentrales Merkmal der digital vernetzten Wirtschaft. Mit der steigenden Digitalisierung dieser Lieferketten wächst auch das Risiko von Cyberangriffen. Das BSI-Gesetz fordert von besonders wichtigen und wichtigen Einrichtungen, die Sicherheit ihrer Lieferkette zu gewährleisten. Ein kompromittierter Zulieferer kann IT-Systeme lahmlegen, Datenlecks verursachen und den Geschäftsbetrieb stören. Das zeigt, wie komplexe Lieferketten die Angriffsfläche für Cyberkriminelle vergrößern.

Werbung
Hier könnte Ihr Advertorial stehen
Ein Advertorial bietet Unternehmen die Möglichkeit, ihre Botschaft direkt im redaktionellen Umfeld zu platzieren

Schwachstellen in der Lieferkette können zur Einschleusung von Schadsoftware führen. Unternehmen müssen sich auf die Integrität ihrer Produkte verlassen können. Das BSIG verpflichtet Einrichtungen zu umfassenden Risikomanagementmaßnahmen, auch in Bezug auf ihre Lieferanten. Das bedeutet, Zulieferer sollten vertraglich zur Einhaltung von Sicherheitsmaßnahmen verpflichtet werden. Nur so kann man sicherstellen, dass die Sicherheitsüberprüfungen des Personals bei Dienstleistern nicht aus dem Ruder laufen.

Ein umfassendes Risikomanagement muss auch die Ebene der Zulieferer erreichen. Die Prüfung der Wirksamkeit von Maßnahmen erfordert eine enge Zusammenarbeit zwischen den Unternehmen und ihren Anbietern. Der Cyber-Supply Chain Risk Management (C-SCRM) Ansatz unterstützt dabei, die Anforderungen der NIS-2-Richtlinie zu erfüllen. Vertragsvereinbarungen mit Zulieferern zu Risikomanagementmaßnahmen und Cybersicherheitsvorfällen sind unerlässlich. Das BSI bietet Unterstützung und Informationen zu den Anforderungen. Es ist ein ständiger Wettlauf gegen die Zeit und die Kriminellen, und der Druck wächst.

Für weitere Informationen zu diesem Thema können Sie die ausführliche Quelle von JFrog hier nachlesen und sich auch über die Richtlinien des BSI informieren hier.

Gerade bei regionalen Medien zählt nicht nur inhaltliche Nähe, sondern auch die technische Abbildung davon. Unsere VeloCore-Plattform, umgesetzt durch Daniel Wom, verbindet lokale Relevanz mit moderner, performanter Technik.