Microsoft hatte in dieser Woche zunächst offengelegt, dass Angreifer ein npm-Maintainer-Konto übernommen und darüber schädliche Paketaktualisierungen veröffentlicht hatten. Inzwischen schreibt das Unternehmen die Kampagne mit hoher Sicherheit Sapphire Sleet zu. Ausgangspunkt war laut Microsoft die Kompromittierung des npm-Kontos „ehindero“, das Veröffentlichungsrechte in der Mastra-Paketumgebung besaß.

Über dieses Konto wurden manipulierte Updates für mehr als 140 Pakete im @mastra-Bereich veröffentlicht. Diese Pakete enthielten die schädliche Abhängigkeit „easy-day-js“, die Microsoft als Typosquatting-Variante der legitimen und weit verbreiteten Bibliothek dayjs beschreibt. Wurden die kompromittierten Pakete installiert, führte die Abhängigkeit einen Post-Install-Hook aus, der einen Malware-Dropper auf dem System des Entwicklers bereitstellte.

Microsoft beschreibt die Kette so: Nach der Installation löste „easy-day-js“ einen Postinstallations-Hook aus, der ein verschleiertes Dropper-Skript startete, die Prüfung von TLS-Zertifikaten deaktivierte, Kontakt zu einer von den Angreifern kontrollierten Command-and-Control-Infrastruktur aufnahm, eine zweite Schadstufe nachlud und sie als versteckten, abgekoppelten Prozess ausführte. Diese zweite Stufe war laut Microsoft ein plattformübergreifender Informationsdieb für Windows-, Linux- und macOS-Systeme.

Der implantierte Schadcode sammelte Informationen über das betroffene System, Browser-Verläufe, installierte Anwendungen und laufende Prozesse. Außerdem prüfte er, ob 166 Browser-Erweiterungen für Kryptowallets installiert waren, darunter MetaMask, Phantom, Coinbase Wallet, Binance Wallet und TronLink. Für dauerhafte Verankerung nutzte die Malware je nach Betriebssystem unterschiedliche Mechanismen, etwa Windows-Registry-Run-Schlüssel, LaunchAgents unter macOS und systemd-Dienste unter Linux.

Microsoft zufolge zeigten Systeme, die mit den Command-and-Control-Servern der Angreifer kommuniziert hatten, weitere Aktivitäten, die bereits früher mit Sapphire Sleet in Verbindung gebracht wurden. Dazu zählten der Einsatz einer PowerShell-Hintertür, die die Gruppe schon in früheren Kampagnen verwendet haben soll, zusätzliche Persistenzmechanismen, Ausschlüsse in Microsoft Defender sowie ein schädlicher Windows-Dienst, der SYSTEM-Rechte gewährte.

Auch diese technischen Merkmale stützen nach Darstellung des Unternehmens die Zuordnung. Microsoft erklärte, die PowerShell-Hintertür, das Vorgehen der Angreifer und die Command-and-Control-Infrastruktur seien bereits in anderen früheren Kampagnen von Sapphire Sleet genutzt worden.

Sapphire Sleet gilt laut Microsoft als staatlich unterstützter Bedrohungsakteur aus Nordkorea. Die Gruppe ist demnach für Kampagnen zum Diebstahl von Kryptowerten, schädliche Browser-Erweiterungen, gefälschte Jobangebote und Kompromittierungen von Software-Lieferketten bekannt, die auf Zugangsdaten und Krypto-Vermögenswerte zielen. Microsoft schreibt der Gruppe außerdem einen weiteren npm-Supply-Chain-Angriff auf den Axios-HTTP-Client im April 2026 zu.