Wenn ein Login das Web erschüttert: Wie 18 JavaScript-Bibliotheken kompromittiert wurden

Eine Welle von Schadcode infizierte vorübergehend 18 weit verbreitete JavaScript-Bibliotheken auf NPM, die zusammen mehr als 2 Milliarden wöchentliche Downloads verzeichnen. Alles begann mit einer täuschend echten E-Mail, die wie eine Mitteilung von NPM aussah und den Maintainer aufforderte, die Zwei-Faktor-Authentifizierung zu aktualisieren. Die verlinkte Seite war gefälscht und stahl ein Einmal-Token. Mit diesen Zugangsdaten verschafften sich die Angreifer Zugriff auf das Konto, änderten die Wiederherstellungsadresse und veröffentlichten manipulierte Pakete.

Der eingeschleuste Code richtet sich auf Kryptowährungen. Er konnte Wallet-Aktivitäten im Browser abfangen, Transaktionen umschreiben und Gelder auf fremde Adressen umleiten, ohne dass dies sofort auffiel. Die Sicherheitsfirma Aikido entdeckte die Manipulation durch automatisierte Repository-Scans. Die infizierten Pakete wurden schnell bereinigt, doch der Vorfall zeigte, wie leicht vertraute Abhängigkeiten zur Waffe werden können.

Die Zerbrechlichkeit der Lieferkette

Experten stellten fest, dass die Angreifer sich auf Kryptodiebstahl beschränkten, obwohl der Zugang zu diesen Bibliotheken viele gravierende Folgen hätte haben können. Der Vorfall verdeutlicht die Schwäche eines Systems, in dem riesige Softwaremengen von wenigen überlasteten Freiwilligen abhängen. Jede zusätzliche Abhängigkeit vergrößert die Angriffsfläche und macht den Phishing-Erfolg bei einem Entwickler zu einem globalen Risiko.

Was sich ändern muss

Forscher fordern strengere Veröffentlichungsregeln. Builds sollten ausschließlich aus vorhersehbaren CI-Pipelines stammen, während spontane Uploads blockiert werden müssen. Zudem sollten Maintainer auf phishingsichere Methoden wie physische Sicherheitsschlüssel umsteigen. Ohne solche Maßnahmen bleibt die Integrität der Open-Source-Lieferkette gefährdet. Der Vorfall erinnert daran, dass ein einziger erfolgreicher Phishing-Angriff das gesamte Web ins Wanken bringen kann.