Die Sicherheitscommunity steht unter Schock. Nordkoreanische Cyberkriminelle haben es geschafft, eines der am häufigsten genutzten HTTP-Client-Pakete der JavaScript-Welt zu kompromittieren. Jason Saayman, Lead-Maintainer von Axios, beschreibt in einem detaillierten Post-Mortem-Bericht, wie die Angreifer über Wochen hinweg eine ausgefeilte Social-Engineering-Kampagne gegen ihn führten.
Die Falle: Perfekt inszenierte Täuschung
Alles begann mit einer gezielten Kontaktaufnahme. Die Hacker erstellten gefälschte LinkedIn-Profile und Slack-Workspaces, die eine legitime Technologie-Firma imitierten – mit echten Mitarbeiterfoto-Klonen, realistischen Kanälen und glaubwürdigen Aktivitäten. Sie luden Saayman in diese Workspace ein und bauten über Wochen Vertrauen auf. Der entscheidende Moment kam während eines Microsoft-Teams-Anrufs: Ein gefälschter Fehler erschien auf dem Bildschirm mit der Aufforderung, ein “Teams-Update” zu installieren. Dieses vermeintliche Update war tatsächlich eine Remote-Access-Trojan (RAT), die den Angreifern vollständigen Zugriff auf Saymans Gerät und damit auf seine npm-Credentials verschaffte.
Malware im Paketmanager
Mit Zugang zum Axios-Konto veröffentlichten die Hacker zwei präparierte Versionen (1.14.1 und 0.30.4), die eine bösartige Abhängigkeit namens “plain-crypto-js” einfügten. Diese installierte plattformübergreifend (Windows, macOS, Linux) einen RAT. Zwar wurden die Versionen nach etwa drei Stunden entfernt, doch jedes System, das die Pakete in diesem Zeitfenster heruntergelud, muss als kompromittiert betrachtet werden.
Koordinierte Massenkampagne
Google Threat Intelligence und das Sicherheitsunternehmen Socket enthüllten das wahre Ausmaß: Dies war kein isolierter Angriff. Dutzende hochrangige npm- und Node.js-Maintainer berichten von identischen Social-Engineering-Versuchen. Pelle Wessman, Maintainer des populären Mocha-Frameworks, dokumentierte sogar Screenshots der gefälschten Fehlermeldungen. Die Angreifer versuchten zunächst, ihn zur Installation von Malware zu verleiten, später zu einem Curl-Befehl zu bewegen.
Socket zeigt: Die Ziele sind bewusst ausgewählt – Pakete mit Milliarden wöchentlicher Downloads. Das ist kein Zufall, sondern eine skalierbare Attackstrategie gegen “hochvertrauenswürdige, hochimpacthafte” Open-Source-Maintainer.
Die Bedrohung für Deutschland
Für deutsche Entwickler und Unternehmen ist die Botschaft klar: Wer npm-Pakete nutzt, könnte indirekt betroffen sein. Alle Credentials sollten rotiert, installierten Versionen überprüft und Systeme gescannt werden. Google ordnet die Attacke der nordkoreanischen Gruppe UNC1069 zu, die mit der Malware WAVESHAPER.V2 arbeitet und Infrastruktur-Muster aus früheren Kampagnen nutzt.
Fazit
Dieser Vorfall markiert eine Eskalation: Angreifer verlegen sich nicht mehr auf technische Exploits allein, sondern auf psychologische Manipulation und maschinelle Täuschung. Die Sicherheit des gesamten Open-Source-Ökosystems hängt nun an den Sicherheitspraktiken einzelner Maintainer – ein systemisches Risiko, das dringend neue Lösungen erfordert.