Nordkoreanische Fake-Pakete stehlen Geheimnisse in npm

04. July 2026 Veröffentlicht | Aus dem Spanischen übersetzt

Eine Gruppe gefälschter Softwarepakete, die mit Nordkorea in Verbindung gebracht wird, hat sich in die npm-Plattform eingeschlichen, indem sie sich als legitime Tools ausgab. Ziel war es, Geheimnisse von Entwicklern zu stehlen, wie Zugangsschlüssel und Tokens. Für die Bürger bedeutet dies, dass Anwendungen oder Dienste, die wir täglich nutzen, ohne unser Wissen kompromittiert worden sein könnten, wodurch persönliche oder finanzielle Daten offengelegt werden. Die Schlussfolgerung ist klar: Wir müssen bei verdächtigen Updates wachsam sein und nur vertrauenswürdigen Quellen vertrauen.

böswillige npm-Paket-Infiltration, Entwickler-Arbeitsstation mit Terminal, das gefälschten Paketinstallationsprozess anzeigt, Code-Editor-Fenster mit verdächtigem Node.js-Skript, das versteckte Token-Exfiltrationsfunktion zeigt, Netzwerkverkehrsvisualisierung, die das Abziehen von Daten an einen externen Server demonstriert, leuchtend rote Warnungen in einem Abhängigkeitsbaum-Diagramm, filmische Cybersicherheitsvisualisierung, dunkle Oberfläche mit Neon-Warnhinweisen, realistische Tastatur- und Monitor-Details, fotorealistische technische Illustration, dramatische Low-Key-Beleuchtung, die die Bedrohung hervorhebt

Wie der Betrug im npm-Ökosystem funktionierte 🛡️

Die Angreifer veröffentlichten Pakete mit Namen, die bekannten Bibliotheken ähneln, wie crossenv anstelle von cross-env. Nach der Installation führten sie bösartige Skripte aus, die Umgebungsvariablen, Konfigurationsdateien und Anmeldeinformationen für Cloud-Dienste abgriffen. Diese als Typosquatting bekannte Technik nutzt das Vertrauen der Entwickler aus, indem sie beliebte Namen kopiert. Die Reichweite ist groß: Jedes Projekt, das von diesen Paketen abhängig war, könnte seine Lieferkette kompromittiert haben, was Unternehmen und Endbenutzer betrifft, die die resultierende Software verwenden.

Die perfekte Ausrede, um nichts zu aktualisieren 😅

Wenn dein Chef dich nun bittet, alle Abhängigkeiten des Projekts zu aktualisieren, kannst du mit ernster Miene antworten: Ich möchte lieber nicht riskieren, dass ein nordkoreanischer Hacker den Code des Bürorechners stiehlt. Denn ja, es stellt sich heraus, dass selbst das harmloseste Paket eine Falle sein kann. Also, du weißt Bescheid: Bevor du ein npm install ausführst, überprüfe den Namen zweimal. Oder besser, bleib bei der alten Version, die funktioniert. Technologische Faulheit hat endlich ihre positive Seite.