Malware in Javascript-Projekten: Neuer Wurm frisst sich durch die NPM-Datenbank

Forscher haben mehrere mit Malware verseuchte NPM-Pakete entdeckt. Die Infektion weiterer Pakete soll automatisch erfolgen.

23. Februar 2026 um 13:15 Uhr / Marc Stöckel

3 Kommentare News folgen (öffnet im neuen Fenster)

Forscher warnen vor mehreren mit Malware verseuchten NPM-Paketen. (Bild: pexels.com / Markus Spiske) — Forscher warnen vor mehreren mit Malware verseuchten NPM-Paketen. Bild: pexels.com / Markus Spiske

Sicherheitsforscher von Socket haben erneut eine Malware entdeckt, die sich wurmartig durch das NPM-Ökosystem gräbt. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) wurden bisher 19 verseuchte NPM-Pakete identifiziert. Weitere könnten aufgrund der automatisierten Verbreitung noch folgen. Für Entwickler, die eines der betroffenen Pakete im Einsatz haben, besteht Handlungsbedarf.

Die Kampagne ähnelt den Shai-Hulud-Angriffen, die die Forscher im vergangenen Jahr aufgedeckt hatten . Den Angaben zufolge gibt es auch Übereinstimmungen im Code der Malware. Die Angreifer haben es vor allem auf Zugangsdaten und API-Schlüssel aus CI-Umgebungen und von Entwicklersystemen abgesehen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: EU-Entgelttransparenzrichtlinie: Was Unternehmen ab 2026 konkret erwartet

zum Ratgeber

Seminar: CRA, AI Act, NIS 2, KRITIS, DORA & Co. – Regulatorik, Cyber Resilience & Compliance: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Vorstellungsgespräche und Job Interviews erfolgreich meistern (E-Learning)

zum Kurs

Erbeutet die Malware dabei Anmeldedaten für Github- oder NPM-Konten, so schleust sie sich automatisch in weitere darüber erreichbare Softwareprojekte ein. Überdies soll die Schadsoftware über eine bisher inaktive Kill-Switch-Funktion verfügen, die auf infizierten Systemen automatisch das gesamte Home-Verzeichnis löscht, sobald sie ihren Zugriff auf die gekaperten Github- und NPM-Konten verliert.

Aufräumarbeiten

Bisher scheinen vor allem NPM-Pakete betroffen zu sein, deren Namen jenen prominenter Pakete (zum Beispiel von Claude Code und Openclaw) lediglich stark ähneln, so dass diese auf einigen Systemen aufgrund von Tippfehlern ( Typosquatting(öffnet im neuen Fenster) ) womöglich irrtümlich installiert wurden. Damit scheint das Ausmaß der Angriffswelle im Vergleich zur Shai-Hulud-Kampagne noch überschaubar zu sein. Eine vollständige Liste der Pakete, die nach aktuellem Kenntnisstand betroffen sind, ist am Ende des Socket-Berichts(öffnet im neuen Fenster) zu finden.

Alle dort gelisteten Pakete wurden nach Angaben der Forscher mittlerweile aus der NPM-Datenbank entfernt. Auch Github und Cloudflare sollen Sicherheitsmaßnahmen ergriffen haben, um eine weitere Verbreitung einzudämmen. Dennoch ist aufgrund der Automatisierung des Angriffs nicht auszuschließen, dass in den nächsten Tagen noch weitere verseuchte Pakete gesichtet werden.

Die Forscher empfehlen Softwareentwicklern, ihre Projekte auf mögliche Abhängigkeiten von einem der verseuchten Pakete zu prüfen. CI- und Entwicklersysteme sind bei entsprechenden Funden als kompromittiert zu betrachten. Sämtliche darauf befindlichen Anmeldeinformationen sollten dringend erneuert werden. Zudem sollten die jeweiligen Softwareprojekte auf unerwünschte Codeänderungen überprüft werden.

Zur Startseite 3 Kommentare

Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Aufräumarbeiten

Relevante Themen