Angriff auf die Software-Lieferkette: : Malware in npm- und PyPI-Paketen gefährdet Millionen Entwickler weltweit

Am 6. Juni 2025 wurde ein kompromittiertes Softwarepaket entdeckt, das im Rahmen eines Supply-Chain-Angriffs auf die JavaScript- und Python-Ökosysteme npm und PyPI veröffentlicht wurde. Im Zentrum stehen mehrere Module aus dem Umfeld von GlueStack und der beliebten Frontend-Bibliothek react-native-aria. Die Angreifer hatten Schadcode in die Datei lib/commonjs/index.js eingeschleust – ein zentraler Einstiegspunkt in vielen dieser Pakete.

Die Auswirkungen sind potenziell gravierend: Rund eine Million wöchentliche Downloads entfallen auf die betroffenen Bibliotheken, viele davon werden in Web- und Mobilanwendungen weltweit eingesetzt. Damit erreicht der Angriff eine Reichweite, wie sie sonst nur bei populären Frameworks oder Infrastrukturpaketen zu beobachten ist.

Was der Schadcode tut

Der eingebettete Schadcode ist technisch betrachtet ein weiterentwickelter Remote Access Trojaner (RAT). Er erlaubt unter anderem:

• Ausführen beliebiger Shell-Kommandos
• Anfertigen von Screenshots
• Hochladen von Dateien vom infizierten System

Neu sind zwei zusätzliche Funktionen:

• ss_info – sammelt Systeminformationen
• ss_ip – ermittelt die öffentliche IP-Adresse des Hosts

Diese Erweiterungen deuten darauf hin, dass es sich um eine zielgerichtete Weiterentwicklung eines bereits bekannten Angriffs handelt. Sicherheitsanalysten von Aikido Security sehen Parallelen zum „rand-user-agent“-Vorfall, bei dem im Mai 2025 ein ähnlich aufgebauter Trojaner in einem npm-Paket gefunden wurde.

Ein kompromittierter Maintainer als Angriffsvektor

Laut einem Vorfallbericht vom 9. Juni 2025 war ein öffentlicher Zugriffstoken eines offiziellen Projektbeitrags kompromittiert worden. Über dieses Konto wurden anschließend manipulierte Versionen der betroffenen Pakete in das npm-Ökosystem eingespielt. Die betroffenen Versionen wurden inzwischen depubliziert, der Zugriffstoken widerrufen, GitHub-Rechte eingeschränkt und Zwei-Faktor-Authentifizierung (2FA) für Veröffentlichungen verpflichtend gemacht.

Betroffen sind unter anderem:

• @gluestack-ui/utils (Versionen 0.1.16 und 0.1.17)
• @react-native-aria/* (mehr als ein Dutzend Module, unter anderem checkbox, focus, slider, utils)

Auffällig ist, dass der Schadcode stets im zentralen Einstiegspunkt eingefügt wurde – ein Muster, das auf automatisierte Build-Skripte hindeutet. Der Angriffsvektor nutzt somit strukturelle Schwächen der Paketverwaltungssysteme aus: Sobald ein Maintainer kompromittiert ist, lassen sich über signierte Releases beliebige Inhalte verbreiten – mit vollem Vertrauen der Nutzer.

Wie groß ist das Risiko für Anwender?

Die Projektverantwortlichen von react-native-aria betonen, dass es sich um eine reine Frontend-Bibliothek handelt, die keine Codeausführung beim Installieren (post-install) auslöst. Dadurch sei das Risiko für Endnutzer minimal, da der Schadcode nur dann aktiv wird, wenn er explizit aufgerufen wird – etwa über Build-Skripte oder beim Start der Anwendung.

Gleichwohl bleibt ein strukturelles Risiko:

• Entwickler könnten betroffene Pakete in Continuous-Integration-Systemen einsetzen.
• Nutzer könnten kompromittierte Versionen lokal bauen und unwissentlich Schadcode verbreiten.
• Die Angreifer behalten unter Umständen persistenten Zugriff auf infizierte Systeme – selbst wenn die Pakete später aktualisiert werden.

Aikido Security warnt daher ausdrücklich: Rollback auf saubere Versionen ist unerlässlich, auch wenn (scheinbar) keine unmittelbare Wirkung zu beobachten ist.

Wie sich Entwickler schützen können

Dieser Angriff steht exemplarisch für die wachsende Bedeutung der Software-Lieferkette als Angriffsfläche. Entwickler vertrauen auf die Integrität von Open-Source-Komponenten – und dieses Vertrauen wird zunehmend zur Zielscheibe. Angriffe dieser Art zielen nicht auf einzelne Organisationen, sondern auf das kollektive Fundament der digitalen Entwicklung.

Empfohlene Schutzmaßnahmen:

• Einsatz von Software Bill of Materials (SBOMs) zur Nachverfolgung von Abhängigkeiten
• Implementierung von Content Integrity Checking (zum Beispiel via Subresource Integrity)
• Stärkere Authentifizierung für Maintainer (2FA, verifizierte Signaturen)
• Monitoring auf verdächtige Netzwerkaktivitäten in Build-Umgebungen
• Rollback und Prüfung aller Projekte, die betroffene Versionen verwendet haben

Fazit: Die Lieferkette ist Teil der Angriffsfläche

Was früher ein internes Sicherheitsproblem war, ist heute ein globales Risiko: Angreifer nutzen den offenen, kollaborativen Charakter der Softwareentwicklung gezielt aus. Der Fall „GlueStack“ ist kein Einzelfall, sondern Teil eines strategischen Angriffsmodells, das auf Reichweite und Heimlichkeit setzt.

Sicherheitsverantwortliche, Entwickler und Projektmaintainer müssen darauf reagieren – mit strukturellen Maßnahmen, automatisierten Prüfmechanismen und einem neuen Bewusstsein für die Integrität der Werkzeuge, auf denen unsere digitale Welt basiert.

Sabotage statt Profit: Neue npm-Schadpakete löschen gezielt Quellcode und Infrastruktur

Zwei ebenfalls kürzlich neu entdeckte, manipulierte npm-Pakete haben es nicht auf Daten oder Geld abgesehen, sondern auf die Zerstörung: Beim Empfang bestimmter HTTP-Anfragen löschen sie ganze Verzeichnisse – samt Quellcode, Konfigurationen und Datenbanken. Die Angriffsmethode ist ebenso raffiniert wie radikal – und ein alarmierender Trend im Software Supply Chain Security-Bereich.

Sicherheitsforscher von Socket haben die Pakete express-api-sync und system-health-sync-api als hochgefährliche Wiper identifiziert – Schadprogramme, die nicht nur Daten kompromittieren, sondern sie endgültig löschen. Beide Pakete wurden über den Account „botsailer“ mit der E-Mail-Adresse anupm019@gmail[.]com veröffentlicht und gemeinsam über 900 Mal heruntergeladen, bevor sie von npm entfernt wurden. Der Schaden bei ahnungslosen Entwicklern, die diese vermeintlich harmlosen Pakete in ihren Anwendungen integrierten, könnte jedoch gravierend sein.

express-api-sync: Löschbefehl auf Knopfdruck

Das Paket express-api-sync tarnt sich als Werkzeug zur Synchronisation von Datenbanken über Express.js. Doch der harmlos klingende Zweck dient nur als Deckmantel. Wird die Anwendung mit diesem Paket betrieben und eine speziell präparierte HTTP-Anfrage mit dem Schlüssel „DEFAULT_123“ gesendet, löscht das Paket alle Dateien im aktuellen Verzeichnis – rekursiv, ohne Rückfrage.

Der eingesetzte Befehl rm -rf * entspricht einem Totalverlust: Quellcode, Assets, Konfigurationsdateien und Datenbanken – alles wird unwiederbringlich entfernt. Damit wird nicht nur die laufende Instanz zerstört, sondern potenziell die gesamte Entwicklungs- oder Produktionsumgebung.

system-health-sync-api: Der „Schweizer Wiper“

Noch gefährlicher zeigt sich das zweite Paket system-health-sync-api. Es vereint mehrere Angriffsstrategien in einem einzigen Tool:

• Informationsdiebstahl
• Betriebssystem-spezifische Löschmechanismen
• verdeckte Kommunikation über E-Mail

Je nach Betriebssystem nutzt der Wiper unterschiedliche Befehle:

• Unter Linux: rm -rf *
• Unter Windows: rd /s /q .

Zudem funkt das Paket Ereignisse und Systeminformationen über SMTP an ein Angreiferkonto – mit Base64-kodierten Zugangsdaten und einem Absender, der scheinbar zu einer indischen Immobilienagentur gehört (auth@corehomes[.]in). Die betroffenen Server senden dabei internen Infrastruktur-URLs, Umgebungsdaten und Statusinformationen direkt an den Angreifer.

Backdoor per API-Endpunkt

Die Sabotagefunktionen sind über definierte API-Endpunkte erreichbar:

• GET /_/system/health dient der Abfrage von Status und Hostnamen
• POST /_/system/health und POST /_/sys/maintenance lösen die Zerstörung aus
• Die Auslösung erfolgt per Schlüsselwort – im zweiten Fall genügt „HelloWorld“

Die Struktur deutet auf eine gezielte, testbare Infrastruktur hin. Angreifer können zunächst über eine „Trockenübung“ verifizieren, ob ihre Backdoor intakt ist, bevor sie den endgültigen Löschbefehl auslösen.

Lehren für die Praxis: Wie sich Entwickler schützen können

Dieser Vorfall unterstreicht eindrücklich, dass Paketmanipulation nicht nur ein Sicherheitsrisiko für Daten darstellt, sondern auch eine reale Gefahr für Entwicklungsinfrastruktur. Die wichtigsten Gegenmaßnahmen in diesem Fall sind:

• Code-Audits und statische Analysen vor Paketintegration
• Einschränkung von automatischen Abhängigkeiten ohne Review
• Monitoring von Netzwerkkommunikation in Entwicklungsumgebungen
• Restriktive Rechtevergabe in Projektverzeichnissen (Least Privilege)
• Verwendung geprüfter Mirror-Repositories oder interne Paket-Caches

PyPI-Paket tarnt sich als Instagram- Tool zur Steigerung der Follower-Zahlen und stiehlt Zugangsdaten

Ein weiteres aktuelles Beispiel für einen Lieferkettenangriff: Ein vermeintliches Instagram-Wachstums-Tool entpuppt sich als raffinierter Credential Harvester: Das Python-Paket imad213, über 3.200 Mal über das offizielle PyPI-Repository heruntergeladen, fordert Nutzer zur Eingabe ihrer Instagram-Zugangsdaten auf – angeblich, um die Follower-Zahl zu steigern. In Wahrheit werden die Zugangsdaten verschlüsselt gespeichert und an zehn verschiedene Bot-Dienste weitergeleitet, viele davon in Verbindung mit einem türkischen Netzwerk fragwürdiger Instagram-Tools.

Besonders perfide: Das Paket enthält einen „Kill Switch“, der über eine externe Netlify-Datei gesteuert wird – der Angreifer kann also jederzeit alle infizierten Installationen deaktivieren oder gezielt steuern. Hinter dem Angriff steht ein Nutzer namens IMAD-213, der unter dem Vorwand von „Forschung und Bildung“ auch weitere Pakete zum Abgreifen von Facebook-, Gmail- und Twitter-Daten veröffentlicht hat. Sicherheitsexperten warnen: Diese Form des Credential-Laundering – also das parallele Verteilen gestohlener Logins über verschiedene Dienste – ist ein gefährlicher neuer Trend in der Social-Media-Malware.