Die Ghost Campaign stellt eine neue Qualität von Supply-Chain-Angriffen dar, die speziell auf Softwareentwickler abzielen. Die sieben npm-Pakete täuschen ihre wahre Funktion durch raffinierte soziale Ingenieursmethoden vor: Sie zeigen gefälschte npm-Installationsprotokolle an und bauen künstliche Verzögerungen ein, um einen laufenden Installationsprozess vorzutäuschen.
Das Kernelement des Angriffs ist eine gezielt inszenierte Fehlermeldung. Das Malware-Skript berichtet von fehlenden Schreibberechtigungen im Verzeichnis “/usr/local/lib/node_modules”, dem Standard-Installationsort für Node.js-Pakete unter Linux und macOS. Die Benutzer werden aufgefordert, ihr Root- oder Administrator-Passwort einzugeben, um die Installation fortsetzen zu können. Wer diesem Apell nachkommt, aktiviert damit das vollständige Angriffsszenario: Das Malware-Skript lädt im nächsten Schritt einen Downloader herunter, der sich mit einem Telegram-Kanal verbindet, um die finale Payload und deren Entschlüsselungsschlüssel zu empfangen.
Das Endergebnis ist die Installation eines Remote-Access-Trojaners (RAT), bekannt als GhostLoader, der umfassend Daten sammelt – von Browser-Zugangsdaten über Kryptowällets bis hin zu SSH-Schlüsseln und Cloud-Konfigurationen. Die gestohlenen Daten werden über Partner-spezifische Telegram-Bots an die Angreifer weitergeleitet.
Die Kampagne nutzt ein ausgefeiltes Geschäftsmodell: Primäres Einkommen stammt aus der Weitergabe gestohlener Anmeldedaten, während sekundäres Einkommen durch Affiliate-Links generiert wird, die in einem Binance Smart Contract (BSC) gespeichert sind. Dies ermöglicht es den Angreifern, ihre Einnahmequellen zu diversifizieren, ohne die Malware selbst ändern zu müssen.
Besonders bemerkenswert ist die Verbindung zur parallel dokumentierten GhostClaw-Kampagne von Jamf Threat Labs. Diese nutzt GitHub-Repositories, die legitime Tools wie Trading-Bots oder Developer-Utilities imitieren. Die Repositories werden zunächst mit harmlosen oder teilweise funktionsfähigen Codes gefüllt und lange Zeit unverändert gelassen, um Vertrauen aufzubauen, bevor malicious Code eingeschleust wird. Einige dieser gefälschten Repositories haben bereits hunderte von Stars gesammelt.
Die Kampagne belegt einen besorgniserregenden Trend: Angreifer erweitern ihre Distributionsmethoden weit über traditionelle Paket-Manager hinaus und nutzen verstärkt GitHub sowie KI-gestützte Entwicklungs-Workflows. Für deutsche Unternehmen und Entwickler bedeutet dies eine erhöhte Wachsamkeit bei der Auswahl von Dependencies und eine kritischere Überprüfung von Installationsprozessen.