Heute ist der 15.05.2026 und während wir hier in Bitcoin (BTC) leben, gibt es Neuigkeiten, die das npm-Ökosystem ordentlich durcheinanderwirbeln. Am 14. Mai hat das IT-Sicherheitsunternehmen Slowmist alarmierende Berichte veröffentlicht. Es wurden drei bösartige Versionen von node-ipc entdeckt, die über 822.000 wöchentliche npm-Downloads aufweisen. Die betroffenen Versionen sind 9.1.6, 9.2.3 und 12.0.1. Was genau ist passiert? Nun, diese Malware hat eine schädliche Payload, die 80 KB groß ist und über 90 Kategorien von Anmeldedaten stiehlt. Darunter befinden sich nicht nur AWS-Schlüssel und .env-Dateien, sondern auch Geheimnisse von Google Cloud und Microsoft Azure, SSH-Schlüssel, Kubernetes-Konfigurationen und sogar Github-CLI-Token. Die Datenexfiltration erfolgt über DNS-Tunneling, was die Sache noch komplizierter macht.
Die erschreckende Wendung? Der ursprüngliche Code von node-ipc wurde nicht verändert, sondern ein inaktives Maintainer-Konto ausgenutzt. Das zeigt, wie angreifbar diese Systeme tatsächlich sind. Die Domain atlantis-software.net wurde am 10. Januar 2025 abgemeldet und erst am 7. Mai 2026 neu registriert. Der Zugriff auf die Veröffentlichungen wurde durch eine Passwortzurücksetzung erlangt, und die bösartigen Versionen waren nur etwa zwei Stunden im npm-Register aktiv. Entwickler, die während dieser Zeit „npm install“ ausgeführt oder Abhängigkeiten aktualisiert haben, sollten wirklich aufpassen.
Eine Welle von Malware-Angriffen
Das ist allerdings nicht alles. Die Warnungen vor neuen Angriffen auf das npm-Ökosystem rund um node.js häufen sich. Fast 500 Pakete sind mittlerweile mit Malware infiziert, die geheime Daten stiehlt und über einen Webhook ausleitet. Diese Malware verhält sich sogar wie ein Wurm und repliziert sich selbst! Sicherheitsunternehmen raten Entwicklern und DevOps-Teams dringend dazu, ihre Entwicklungsumgebungen zu überprüfen und Pakete auf bekannte, sichere Versionen zu „pinnen“. Eine Liste von 477 betroffenen Paketversionen wird von Socket.dev gepflegt.
Unter den kompromittierten Paketen ist auch @ctrl/tinycolor, das etwa zwei Millionen Mal pro Woche heruntergeladen wird. Die Situation ist also alles andere als harmlos. Sicherheitsunternehmen wie Crowdstrike haben bösartige npm-Pakete entdeckt und diese entfernt. Sie haben außerdem ihre Schlüssel in öffentlichen Registrierungen proaktiv rotiert, um die Sicherheit ihrer Plattform zu gewährleisten. Das klingt nach einer Menge Arbeit und zeigt, wie ernst die Lage ist.
Die Bedrohung für Krypto-Projekte
Die Angriffe auf die Lieferkette des npm-Ökosystems stellen besonders für Krypto-Projekte eine anhaltende Bedrohung dar. Es ist unklar, wo der Angriff begann; es gibt keinen klaren „Patient Null“, was die Situation zusätzlich verkompliziert. Interessanterweise haben die Angreifer ein GitHub-Repository namens „Shai-Hulud“ angelegt, benannt nach den Sandwürmern aus Frank Herberts „Dune“. Ein bisschen makaber, oder? Es ist fast so, als ob die Angreifer einen eigenen Mythos um ihre Taten spinnen wollten.
Entwickler, die in diesem Umfeld tätig sind, sollten die Liste infizierter Pakete konsultieren und infizierte Versionen sofort löschen. Die Sicherheit der eigenen Projekte sollte oberste Priorität haben. Es ist ein ständiger Wettlauf gegen die Zeit und die Kreativität von Cyberkriminellen, die immer raffiniertere Wege finden, um an sensible Daten zu gelangen. Die Situation bleibt angespannt, und es bleibt abzuwarten, wie sich die Dinge weiterentwickeln werden.