Security-Forscher von Check Point analysieren aktuell den bislang größten Supply-Chain-Angriff auf das npm-Ökosystem. Am 8. September 2025 gelang es Angreifern, über eine gezielte Phishing-Kampagne das Konto eines bekannten Maintainers zu übernehmen. Im Anschluss infiltrierten sie mehr als 18 zentrale npm-Pakete mit einer Schadsoftware, die über eingebaute Krypto-Stealer-Funktionalität verfügt. Gemeinsam kommen diese Pakete auf über 2 Milliarden wöchentliche Downloads und sind in Millionen von Projekten weltweit integriert – von kleinen Open-Source-Anwendungen bis hin zu geschäftskritischen Enterprise-Systemen.

Abbildung 1: Beitrag von Josh Junon zum Vorfall (Check Point Software Technologies Ltd.).

Nach Bekanntwerden des Vorfalls entfernte das npm-Team die kompromittierten Versionen, darunter das Debug-Paket mit alleiin mehr als 357 Millionen Downloads pro Woche.

Initiale Kompromittierung durch Phishing

Der Angriff begann mit einer gefälschten E-Mail an Josh Junon alias Qix. Die Nachricht kam von support@npmjs.help, einer Domain, die drei Tage zuvor registriert wurde. Unter Zeitdruck gab Junon seine Zugangsdaten inklusive 2FA ein und ermöglichte so den vollständigen Zugriff auf sein npm-Konto. Innerhalb weniger Minuten veröffentlichten die Angreifer manipulierte Versionen seiner Pakete. Weitere Maintainer erhielten ähnliche Phishing-Mails.

Abbildung 2: Die Phishing-E-Mail (Check Point Software Technologies Ltd.).

Infrastruktur der Angreifer

Die Domain npmjs.help leitete auf die IP 185.7.81.108 um. Der Phishing-Link führte zu einer präparierten Seite, die Inhalte aus von den Angreifern kontrollierten BunnyCDN-Buckets lud. Ein eingebettetes Skript stahl Benutzername, Passwort und 2FA-Codes und leitete sie an websocket-api2.publicvm.com weiter.

Abbildung 3: Whois-Eintrag zur Domain (Check Point Software Technologies Ltd.).

Abbildung 4: Weitere Maintainer erhielten die Phishing-Mail (Check Point Software Technologies Ltd.).

Betroffene Pakete und Malware-Verhalten

Unter den kompromittierten Paketen befinden sich zentrale Bibliotheken wie debug, chalk, supports-color, ansi-styles oder strip-ansi. Viele dieser Module sind tief in die JavaScript-Ökosysteme integriert und verursachen dadurch einen großflächigen Kollateralschaden.

Die Schad-Software war auf Browsern basiert und zielte auf Krypto-Währungen.

• Passive Address Replacement: Wallet-Adressen im Netzwerkverkehr wurden durch täuschend ähnliche Adressen der Angreifer ersetzt.
• Active Transaction Hijacking: Transaktionen in Browser-Wallets wie MetaMask oder Phantom wurden in Echtzeit manipuliert, während dem Nutzer weiterhin die korrekte Zieladresse angezeigt wurde.

Die Malware nutzte verschleierten Code, setzte auf Levenshtein-Distanz zur Täuschung und baute auf APIs wie fetch, XMLHttpRequest und window.ethereum.request. Zielwährungen waren Bitcoin, Ethereum, Tron, Litecoin und Bitcoin Cash.

Den zeitlichen Ablauf des Angriffs sowie alle Details inklusive IOCs finden Sie im Check Point Blog: The Great NPM Heist – September 2025