Zahlreiche npm-Pakete für node.js mit Schadcode infiziert

Das IT-Nachrichtenportal Heise berichtete am 9. September 2025 über einen erfolgreichen Supply-Chain-Angriff auf zahlreiche npm-Pakete für node.js. Hierbei wurden Zugangsdaten von Entwicklerkonten per Spearphishing abgegriffen und so die folgenden Pakete mit Schadcode infiziert:

• ansi-regex
• ansi-styles
• backslash
• chalk
• chalk-template
• color-convert
• color-name
• color-string
• debug
• error-ex
• has-ansi
• is-arrayish
• simple-swizzle
• slice-ansi
• strip-ansi
• supports-color
• supports-hyperlinks
• wrap-ansi
• proto-tinker-wc

Die von den Angreifenden eingesetzte Malware diene laut Heise zum Abgreifen von Daten in Webbrowsern. Zudem könnten Browser-Erweiterungen so manipuliert werden, dass diese in Wallets für Kryptowährung geändert werden.

Die kompromittierten Paket-Versionen seien mittlerweile nicht mehr verfügbar. Ob ältere Versionen infiziert wurden oder andere Entwicklerkonten betroffen seien, könne laut Heise aktuell nicht ausgeschlossen werden. Bei einer gemeinsamen Download-Zahl von ca. 2 Milliarden pro Woche sei zudem davon auszugehen, dass sehr viele Nutzende die infizierten Paket-Versionen bereits heruntergeladen und installiert haben.

Das Cyber-Sicherheitsportal aikido stellt in einem unten verlinkten Bericht Mitigationsmaßnahmen und Kompromittierungsindikatoren (Indicators of Compromise: IoCs) bereit.

• Installieren Sie schnellstmöglich eine abgesicherte Version Ihres betroffenen Pakets.
• Wenn keine abgesicherte Version vorliegt, entfernen Sie die betroffenen Pakete und prüfen Sie regelmäßig, ob Updates veröffentlicht wurden.
• Prüfen Sie Ihre Systeme mit den verfügbaren IoCs.
• Beachten Sie die Mitigationsmaßnahmen von aikido.