Gefälschtes NPM-Paket mit 206.000 Downloads zielte auf GitHub ab, um Zugangsdaten zu erlangen.

Cybersicherheitsforscher von Veracode entdeckten eine Kampagne, die darauf abzielte, kritische Zugangsdaten aus dem Quellcode von GitHub zu stehlen. Die Hacker platzierten dazu eine gefälschte Softwarekomponente auf npm (Node Package Manager) , einer umfangreichen öffentlichen Bibliothek, die Entwickler zum Austausch von JavaScript-Code nutzen.

Zur Information: Ein npm-Paket ist ein Ordner mit Code, Dokumentation und Metadaten, den Entwickler einfach teilen und in ihre Projekte integrieren können. So können sie moderne Anwendungen erstellen, indem sie vorhandene, getestete Codekomponenten wiederverwenden, anstatt alles von Grund auf neu zu schreiben.

Das Bedrohungsforschungsteam des Cybersicherheitsunternehmens Veracode meldete am Freitag, den 7. November, das bösartige npm-Paket, ein GitHub Actions Toolkit mit dem Namen „ @acitons/artifact" . Dieser Name ist ein klares Beispiel dafür, wie Betrüger einen Trick namens Typosquatting anwenden, um ahnungslose Benutzer zu täuschen.

Bei dieser Angriffsart wird ein Name registriert, der absichtlich wie eine Fehlschreibung eines legitimen Namens aussieht (das echte Paket heißt @actions/artifact ), in der Hoffnung, dass Entwickler versehentlich das falsche Paket herunterladen. Das schädliche Paket war überraschend beliebt und wurde über 206.000 Mal heruntergeladen.

Diese Art von Sicherheitslücke, die technisch als Software Supply Chain Failure bezeichnet wird, hat sich zu einem großen Problem entwickelt und ist sogar in die OWASP TOP 10 2025 (RC1) Liste der größten Risiken aufgenommen worden, wie Forscher in einem Blogbeitrag, der mit Hackread.com geteilt wurde, feststellten.

Das gefälschte Codepaket war so eingerichtet, dass es unmittelbar nach der Installation eine gefährliche Sequenz auslöste. Es enthielt einen Post-Install-Hook (im Grunde ein spezielles Skript), der Malware herunterlud und ausführte, um GitHub-Token zu stehlen.

Man kann sich diese Token als temporäre Zugriffsschlüssel für die Codeumgebung vorstellen. Die Forscher von Veracode glauben, dass die letztendliche Motivation darin bestand, „die für die Build-Umgebung verfügbaren Token zu exfiltrieren und diese Token dann zu verwenden, um neue schädliche Artefakte auf GitHub zu veröffentlichen.“

Weitere Untersuchungen ergaben, dass die Schadsoftware äußerst zielgerichtet war. Sie war so programmiert, dass sie überprüfte, in welchem ​​Repository sie sich befand, und zielte gezielt auf Repositories der GitHub-Organisation ab. Eine im Schadcode integrierte Prüfung stellte sicher, dass das Programm beendet wurde, falls es sich nicht um GitHub handelte. Dies bestätigte, dass die Angreifer die Kernplattform im Visier hatten.

Es ist bemerkenswert, dass die Schadsoftware bei ihrer ersten Entdeckung selbst von gängigen Antivirenprogrammen nicht erkannt wurde. Die Angreifer hatten zudem ein Ablaufdatum eingebaut, sodass der Code nach dem 6. November 2025 (UTC) nicht mehr funktionierte. Im Zuge der Untersuchung wurde außerdem ein weiteres gefälschtes Paket mit dem Namen „ 8jfiesaf83 “ identifiziert und blockiert.

Am Montag, dem 10. November, wurden die schädlichen Versionen des Pakets entfernt, vermutlich von den Angreifern selbst oder von GitHub. Erfreulicherweise bestätigte Veracode, dass Kunden ihres Sicherheitsdienstes Package Firewall sofort geschützt waren, nachdem die Bedrohung am Freitag entdeckt worden war.