Auf den Punkt: Bösartige npm-Pakete imitieren legitime Rollup-Polyfills und ermöglichen Nordkorea-Akteuren Datenraub und Fernzugriff auf Entwickler-Systeme.
Angreifer mit Verbindungen zu Nordkorea verbreiten manipulierte npm-Pakete, die sich als legitime Rollup-Polyfill-Tools ausgeben und Fernzugriff sowie Datendiebstahl ermöglichen. JFrog hat die Kampagne analysiert und zwei verdächtige Pakete identifiziert.
Die Sicherheitsfirma JFrog hat zwei bösartige npm-Pakete unter den Namen „rollup-packages-polyfill-core“ und „rollup-runtime-polyfill-core“ analysiert. Diese imitieren das legitime Projekt „rollup-plugin-polyfill-node“ bis ins Detail: Beschreibung, Repository-Metadaten und Paketstruktur entsprechen dem Original-Projekt, um Entwickler zur Installation zu verleiten.
Für einen CTO bedeutet diese Supply-Chain-Attacke ein erhebliches Risiko. Wenn Entwickler diese Pakete als Dependencies einbinden, können die eingebetteten Schadcodes Authentifizierungsdaten, API-Schlüssel, Umgebungsvariablen und andere sensible Daten aus der Entwicklungsumgebung exfiltrieren. Da Polyfill-Tools in der Regel während des Build-Prozesses lädt, erhalten Angreifer potenziell Zugriff auf CI/CD-Pipelines und Produktionsinfrastruktur.
Die Kampagne unterstreicht die Notwendigkeit, npm-Dependencies regelmäßig zu auditen, Paket-Signaturen zu verifizieren und Dependency-Management-Tools wie npm audit oder Software Composition Analysis (SCA) einzusetzen. Besondere Aufmerksamkeit sollten sogenannte „Typosquatting“- und „Cousin Domain“-Attacken erhalten, bei denen Angreifer etablierte Projektnamen leicht abwandeln.
Quelle: thehackernews.com · Erschienen 3. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.