Der Angriff begann am 11. Juli. Wie Jscrambler mitteilt, konnte der Angreifer das Paket mit NPM-Veröffentlichungszugängen publizieren. Während das Unternehmen auf den Vorfall reagierte, erschienen weitere manipulierte Varianten des Pakets. Jscrambler erklärte, man habe „alle relevanten Zugangsdaten, Passwörter und Geheimnisse widerrufen und ausgetauscht“ und zusätzliche Sicherheitskontrollen für den Veröffentlichungsprozess eingeführt, während die Untersuchung weiterlaufe.

Nach Beobachtungen des auf Lieferkettensicherheit spezialisierten Unternehmens Socket enthielten die schädlichen Versionen den Preinstall-Hook, zwei neue Dateien im Verzeichnis dist/ mit den Namen setup.js und intro.js sowie Binärdateien für Linux, macOS und Windows. Bei der Installation löst der Hook die Infektionskette aus: setup.js wird ausgeführt, um über intro.js eine plattformspezifische Binärdatei zu laden und zu starten.

Socket beschreibt die in Rust geschriebene Schadsoftware als Infostealer, der es auf Zugangsdaten und Geheimnisse auf Rechnern von Entwicklern und Cloud-Betreibern abgesehen hat. Genannt werden außerdem Kryptowährungs-Wallets und Seed-Phrasen, KI-Codierassistenten und Konfigurationen von MCP-Servern, Messaging- und Kollaborationsanwendungen, Browser, Steam-Sitzungen sowie Schlüsselbunde des Betriebssystems.

Darüber hinaus versucht die Malware laut Socket, ihre Rechte zu erweitern, dauerhaft auf dem System zu bleiben und Informationen über den Host zu sammeln. Socket beobachtete auch, dass abgegriffene Daten über TLS mithilfe von rustls exfiltriert wurden, wahrscheinlich an einen Sammelserver. Zusätzlich konstruierte die Malware Anfragen, um mit gestohlenen Zugangsdaten Cloud- und Orchestrierungs-Programmierschnittstellen abzufragen.

Weil das kompromittierte Jscrambler-Paket als Abhängigkeit in weiteren Paketen steckt, weitete sich die Wirkung des Lieferkettenangriffs auf mehrere Komponenten aus. Genannt werden Jscrambler-webpack-plugin 8.6.2, gulp-Jscrambler 8.6.2, grunt-Jscrambler 8.5.2 und Jscrambler-metro-plugin 9.0.2.

Jscrambler rät Nutzern, die betroffenen Paketversionen umgehend von ihren Systemen zu entfernen, die Systeme auf Malware zu überprüfen und sämtliche Zugangsdaten, Token und API-Schlüssel auszutauschen.