Anhaltende Phishing-Angriffe, die sich gegen Entwickler und das NPM-Ökosystem richten
3. Oktober 2025
Von Samantha Clarke, Hiwot Mendahun und dem Mimecast Threat Research Team
- Zwei große, auf npm ausgerichtete Kampagnen, die im Rahmen einer umfassenderen Bedrohungslage identifiziert wurden: im Juli "(Kontoverwaltung)" und im September "(2FA-Sicherheitsupdate)" (Operationen)
- Diese npm-Kampagnen stellen eine Eskalation bei Angriffen auf kritische Entwicklungsinfrastrukturen unter Verwendung von Open-Source-Software dar
- 14. September 2025: "Shai-Hulud" – Verbreitung eines sich selbst replizierenden Wurms im Zusammenhang mit gestohlenen Zugangsdaten
- Der Wurm hat durch autonome Replikation mehr als 180 npm-Pakete infiziert und damit eine Entwicklung vom Diebstahl von Zugangsdaten hin zu Malware in der Lieferkette verdeutlicht
Kampagnenübersicht
Das Mimecast Threat Research-Team beobachtet seit Juli 2025 aktiv eine mehrstufige Angriffskampagne, die auf das npm-Ökosystem abzielt. Unsere Untersuchungen zeigen eine Entwicklung von Phishing-Angriffen zum Diebstahl von Zugangsdaten hin zu der am 14. September 2025 erfolgten Kompromittierung der Lieferkette von „ "“ durch Shai-Hulud". Durch die kontinuierliche Überwachung von Bedrohungen konnten wir zwei große Phishing-Kampagnen identifizieren, die unmittelbar vor den groß angelegten Kompromittierungen von npm-Paketen stattfanden.
Zeitachse der von Mimecast erfassten Kampagne
Juli 2025 – Kampagne zur Kontoverwaltung Die erste nachgewiesene, auf npm abzielende Phishing-Aktivität fand im Juli 2025 statt, wobei Social-Engineering-Köder wie „ "“ und „Kontoverwaltung“" eingesetzt wurden. Im Rahmen dieser Kampagnen wurden Entwickler auf Typosquatting-Domains weitergeleitet, die die legitime Infrastruktur von npm nachahmten, und dort wurden Paketbetreuer mit dringenden Benachrichtigungen zur Kontoverwaltung angesprochen.
- Verwendetes Argument: Anforderungen zur Kontoführung und -überprüfung
- Übertragungsweg: Phishing-E-Mails, die als offizielle Mitteilungen von npm getarnt sind
- Ziel: Das Ausspähen von Zugangsdaten mit dem Ziel, an hochkarätige Konten von Betreuern zu gelangen
- Infrastruktur: Typosquatting -Domains, darunter npnjs.com
Kampagne mit Sicherheitsupdates: Anfang September wurde eine Eskalation beobachtet, bei der eine ausgefeiltere Kampagne zum Einsatz kam, die sich die "-2FA-Sicherheitsupdate-" -Köder zunutze machte. Diese Kampagne zeigte ausgefeilte Tarntechniken und gezielte Botschaften, die speziell darauf ausgelegt waren, sicherheitsbewusste Entwickler auszunutzen.
- Verwendeter Köder: Obligatorische 2FA-Updates und Anforderungen zur Einhaltung von Sicherheitsvorschriften
- Übertragungsweg: Phishing-E-Mails, die als offizielle Mitteilungen von npm getarnt sind
- Ziel: Umfangreiches Sammeln von Zugangsdaten im Vorfeld der Einführung in die Lieferkette
14. September 2025 – Einsatz von „Shai-Hulud“ Der Höhepunkt dieser Operationen zum Sammeln von Anmeldedaten führte zum Einsatz des sich selbst replizierenden Wurms „ "“ Shai-Hulud". Unter Nutzung von Konten, die im Rahmen früherer Phishing-Kampagnen kompromittiert worden waren, setzten die Angreifer autonome Malware ein, die sich ohne weiteres menschliches Zutun im gesamten npm-Ökosystem verbreitete.
- Angriffsvektor: Kompromittierte Konten von Betreuern aus früheren Phishing-Kampagnen
- Nutzlast: Selbstreplizierender Wurm, der bösartige Skripte nach der Installation nutzt (bundle.js)
- Umfang: Zunächst 18 gezielte Pakete, die durch autonome Replikation auf über 180 erweitert werden
- Fähigkeiten: Diebstahl von Anmeldedaten aus verschiedenen Quellen (npm-Token, GitHub-Anmeldedaten, Geheimdaten von Cloud-Plattformen)
Mimecast-Schutz
Die fortschrittlichen Funktionen zur Erkennung von Bedrohungen von Mimecast haben diese Kampagnen mithilfe mehrerer Schutzebenen erfolgreich identifiziert und blockiert.
Ziele
Region und Branche: Globale Ausrichtung mit konzentrierten Auswirkungen auf Technologieunternehmen, die in hohem Maße von npm-Paketen abhängig sind, darunter Fintech-Unternehmen, Unternehmen im Bereich Gesundheitstechnologie sowie Entwickler von Unternehmenssoftware.
Die primäre Zielgruppe sind Softwareentwickler, die auf verschiedenen Plattformen tätig sind, wobei npm-Betreuer aufgrund ihres Zugangs zur Lieferkette besonders wertvolle Ziele darstellen. Zu den sekundären Zielgruppen zählen DevOps-Ingenieure, Sicherheitsexperten und Entwicklungsteams in Unternehmen, die kritische Infrastrukturabhängigkeiten verwalten.
Indikatoren für eine Kompromittierung (IOCs)
NPM-spezifische Infrastruktur
- npnjs.com (primäre Typosquatting-Domain)
- npm-security.com (sekundäre Phishing-Infrastruktur)
- npmjs.help (Seite zum Ausspähen von Zugangsdaten)
- npmjs-security.org (Seite zum Abgreifen von Anmeldedaten)
Empfehlungen
Sofortmaßnahmen:
- Informieren Sie die Nutzer über Bedrohungen im Zusammenhang mit npm, OAuth, SaaS-Plattformen und der Entwicklungsinfrastruktur, einschließlich konkreter Maßnahmen wie Kontoverwaltung, Sicherheitsupdates und Identitätsbetrug auf Plattformen
- Erstellen Sie Protokolle zur unabhängigen Überprüfung kritischer Kommunikationswege auf allen Entwicklungsplattformen
Threat Hunting:
- Durchsuchen Sie die E-Mail-Empfangsprotokolle und URL-Protokolle nach technischen Indikatoren, die mit diesen Kampagnen in Zusammenhang stehen
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!