Die von Endor Labs neu entdeckten Wellen reihen sich in eine Kampagne ein, die zunächst Koi-Forscher im Oktober 2025 öffentlich machten. Während Koi 126 Schadpakete dokumentierte, verteilte der Angreifer in den drei späteren Wellen zwischen November 2025 und Februar 2026 weitere 88 Pakete über 50 Wegwerf-Konten. 81 davon sind nach Angaben von Endor Labs noch immer im npm-Register abrufbar.

Zur Verbreitung nutzt der Angreifer Slopsquatting: Die Schadpakete tragen Namen, die wie automatische Vorschläge großer Sprachmodelle aussehen, und imitieren bekannte Projekte wie Babel und GraphQL Codegen.

Technisch stützt sich PhantomRaven auf eine Tarnmethode namens Remote Dynamic Dependencies (RDD). Dabei verweist die Metadatei “package.json” auf eine Abhängigkeit, die an einer externen URL liegt. So muss der Schadcode nicht im Paket selbst stecken, wodurch automatische Prüfungen umgangen werden. Führt ein Entwickler “npm install” aus, wird die schädliche Abhängigkeit vom Server der Angreifer nachgeladen und ausgeführt.

Laut der Untersuchung von Endor Labs sammelt die Schadsoftware unterschiedliche sensible Daten vom befallenen System, darunter E-Mail-Adressen aus “.gitconfig”, “.npmrc” sowie Umgebungsvariablen. Ins Visier geraten zudem CI/CD-Token der Plattformen GitHub, GitLab, Jenkins und CircleCI. Ergänzend erfasst die Malware Systemdaten wie IP-Adresse, Hostname, Betriebssystem und Node-Version, um die Maschine zu identifizieren.

Im letzten Schritt überträgt das Paket die gestohlenen Daten an den Command-and-Control-Server der Angreifer. In der Regel geschieht das über eine HTTP-GET-Anfrage, zur Redundanz kommen aber auch HTTP-POST und WebSocket zum Einsatz.

Endor Labs zufolge bleibt die Infrastruktur über alle vier beobachteten Wellen hinweg konstant: Die genutzten Domains enthalten das Wort “artifact”, werden auf Amazon Elastic Compute Cloud (EC2) gehostet und besitzen kein TLS-Zertifikat. Auch die Schadlast war nahezu identisch – von 259 Codezeilen blieben 257 unverändert.

Operativ entwickelten die Angreifer ihr Vorgehen dennoch weiter: Sie wechselten npm- und E-Mail-Konten, änderten Paket-Metadaten und passten PHP-Endpunkte an. In den jüngeren Angriffen veröffentlichten sie zudem häufiger, etwa vier Pakete an einem einzigen Tag, dem 18. Februar.

Trotz geringer Raffinesse läuft die Kampagne weiter und stützt sich dabei stets auf dieselbe Technik, dieselben Infrastrukturmuster und denselben Aufbau der Schadlast. Mit minimalen Anpassungen bei Domains, Endpunkten, npm-Konten und Abhängigkeitsnamen hielt sich der Angreifer einsatzfähig.

Zum Schutz empfehlen die Forscher Entwicklern, die Echtheit ihrer Bausteine zu prüfen, ausschließlich Pakete vertrauenswürdiger Herausgeber zu nutzen und Vorschläge von KI-Chatbots oder ungeprüften Quellen nicht ungeprüft zu übernehmen.