HackerangriffeSchwachstellenCyberkriminalität

Nordkoreas Hacker zielen auf Node.js-Entwickler ab – Axios-Attacke war erst der Anfang

Nordkoreas Hacker zielen auf Node.js-Entwickler ab – Axios-Attacke war erst der Anfang
Zusammenfassung

Nordkoreanische Hacker greifen prominente Node.js-Entwickler an und gefährden damit Millionen von Softwarenutzern weltweit. Die Hackergruppe UNC1069, die bereits für den Axios-Anschlag auf die NPM-Registry verantwortlich ist, führt eine ausgefeilte Social-Engineering-Kampagne gegen hochrangige Maintainer von JavaScript-Paketen durch. Dabei werden die Angreifer manipulativ tätig: Sie bauen über Wochen hinweg Vertrauen auf, imitieren legitime Geschäftskontakte und locken die Opfer mit täuschend echten Meeting-Einladungen in die Falle, um ihnen Malware unterzujubeln. Die Ziele sind nicht zufällig gewählt – es handelt sich um Entwickler, deren Pakete zusammen Milliarden Male heruntergeladen werden. Für deutsche Unternehmen und Behörden ist dies ein kritisches Sicherheitsrisiko, da viele deutsche Tech-Firmen und öffentliche Institutionen auf Node.js-Komponenten angewiesen sind. Ein erfolgreich infiltrierter Maintainer könnte schadhaften Code in weit verbreitete Pakete einschleusen und damit potenziell Tausende deutsche Organisationen kompromittieren. Das Ausmaß des Axios-Anschlags – über drei Millionen betroffene Nutzer – zeigt die Gefährlichkeit dieser Angriffsvektoren für die gesamte deutsche Softwareversorgungskette.

Die Attackenmuster, die Security-Forscher bei UNC1069 beobachten, unterscheiden sich fundamental von klassischen Phishing-Angriffen. Die Hacker investieren Wochen in die Vorbereitung ihrer Operationen, bauen Vertrauen auf und schaffen scheinbar legitime Infrastrukturen. Sie laden potenzielle Opfer in gefälschte Slack-Workspaces ein, vereinbaren Meetings über Microsoft Teams und präsentieren sich als professionelle Geschäftspartner – lange bevor sie zum Schlag ausholen.

Bei der ursprünglichen Axios-Attacke am 31. März zeigt sich diese Raffinesse besonders deutlich: Saayman wurde mit einem Remote-Access-Trojan (RAT) infiziert, nachdem die Angreifer ihm eine gefälschte Software-Update während eines Teams-Meetings unterjubelt hatten. Innerhalb weniger Tage konnten die Hacker zwei manipulierte Versionen des Axios-Pakets ins NPM-Registry hochladen. Zwar wurden diese innerhalb von drei Stunden gelöscht, doch Sicherheitsexperten gehen davon aus, dass über 3 Millionen Nutzer die Malware bereits installiert hatten.

Das Beunruhigende: UNC1069 operiert nicht nur im Open-Source-Ökosystem. Im Februar warnte Google vor ähnlichen Angriffen der Gruppe gegen DeFi-Firmen, Kryptounternehmen und Venture-Capital-Gesellschaften. Die nordkoreanische Hackergruppe hat offenbar ein bewährtes Playbook für Social Engineering – und wendet es systematisch an.

Für Deutschlands Softwareindustrie und Open-Source-Community bedeutet dies eine konkrete Gefahr. Viele deutsche Entwickler tragen zu populären NPM-Paketen bei oder unterhalten eigene Module, die weltweit genutzt werden. Sie könnten selbst zum Ziel werden – insbesondere wenn sie in vielen Projekten vertreten sind. Die Sicherheitsgemeinde ruft zu erhöhter Wachsamkeit auf: Verdächtige LinkedIn-Profile, ungeplante Meeting-Einladungen und professionell gestaltete, aber merkwürdige Kontaktaufnahmen sollten kritisch hinterfragt werden.

Sicherheitsexperte Tay fasst die Situation prägnant zusammen: “Dies ist nicht dein typischer Phishing-Angriff.” Open-Source-Maintainer sollten Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung, VPNs und Endpoint-Detection-and-Response-Tools verstärken. Die Supply-Chain-Sicherheit wird damit zu einer Frage von Überleben und Vertrauenswürdigkeit im digitalen Ökosystem.

Ähnliche Artikel