Auf den Punkt: Angreifer nutzen manipulierte npm-Pakete, um Malware mit Kernel-Rootkit-Komponenten in Entwicklermaschinen einzuschleusen.
Über 50 legitime npm-Pakete wurden kompromittiert oder vergiftet, um einen Rust-basierten Informationsstehler und einen sich selbst verbreitenden Wurm zu verteilen. JFrog hat die Kampagne analysiert und beschreibt ein Rootkit-basiertes Bedrohungsszenario.
Mehrere Angriffe auf die npm-Lieferkette haben Entwickler-Ökosysteme destabilisiert. Threat Actors haben sowohl legitime Pakete mit schädlichem Code versehen als auch giftigen Versionen verbreitet – über 50 Pakete insgesamt. Zur Verbreitung dienten ein Rust-basierter Informationsstehler und ein sich selbst verbreitender Wurm namens Miasma.
Der Informationsstehler gemäß JFrog-Analyse extrahiert Secrets und Anmeldedaten von Entwicklermaschinen und versteckt sich hinter einem eBPF-Kernel-Rootkit. Diese Technik erschwert Detektion und Entfernung erheblich, da der Rootkit auf Kernel-Ebene operiert und von typischen Sicherheitstools schwer zu erkennen ist. Der Wurm-Anteil (Miasma-Variante) ermöglicht die eigenständige Propagation auf weitere Systeme und andere Abhängigkeiten.
Für CTOs und Security-Teams bedeutet dies ein Risiko auf mehreren Ebenen: Kompromittierte Entwickler-Anmeldedaten können zu lateral movement innerhalb der eigenen Infrastruktur führen; ein Kernel-Rootkit erlaubt Angreifern tiefe Persistenz; die Selbstverbreitungsmechanismus verstärkt das Ausbreitungsrisiko in der gesamten Supply Chain. Betroffene Organisationen sollten npm-Abhängigkeiten überprüfen, verdächtige Prozesse auf Entwicklermaschinen nach eBPF-Rootkit-Signaturen durchsuchen und ihre Geheimnisverwaltung sowie Zugangskontrolle auf Anomalien prüfen.
Quelle: thehackernews.com · Erschienen 5. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.