NPM-Pakete der Gluestack-Bibliothek mit Trojaner infiziert

Das IT-Sicherheitsunternehmen aikido berichtete am 6. Juni 2025 über einen RAT in den folgenden 17 von 20 npm-Paketen der Gluestack-Bibliothek:

• @react-native-aria/button, Version 0.2.11
• @react-native-aria/checkbox, Version 0.2.11
• @react-native-aria/combobox, Version 0.2.10
• @react-native-aria/disclosure, Version 0.2.9
• @react-native-aria/focus, Version 0.2.10
• @react-native-aria/interactions, Version 0.2.17
• @react-native-aria/listbox, Version 0.2.10
• @react-native-aria/menu, Version 0.2.16
• @react-native-aria/overlays, Version 0.3.16
• @react-native-aria/radio, Version 0.2.14
• @react-native-aria/switch, Version 0.2.5
• @react-native-aria/toggle, Version 0.2.12
• @react-native-aria/utils, Version 0.2.13
• @gluestack-ui/utils, Version 0.1.17
• @react-native-aria/separator, Version 0.2.7
• @react-native-aria/slider, Version 0.2.13
• @react-native-aria/tabs, Version 0.2.14

Die Pakete sollen im Zuge eines Supply-Chain-Angriffs mit dem RAT infiziert worden sein.

Laut aikido wurden die betroffenen Pakete in npm als veraltet markiert und sind nicht mehr abrufbar. Dennoch sollten Nutzende ihre Systeme umgehend und vollständig prüfen, da selbst mit einer Deinstallation der Pakete der RAT nicht vollständig entfernt sein könnte. Das IT-Sicherheitsunternehmen stellt in seinem unten verlinkten Bericht Details zum Vorfall, Mitigationsmaßnahmen und Kompromittierungsindikatoren (Indicators of Compromise: IoC) bereit.

Zudem zieht aikido Parallelen zur Infizierung des npm-Pakets rand-user-agent und vermutet denselben Akteur dahinter. Den Artikel der CSBW zum befallenen rand-user-agent-Paket finden Sie unten verlinkt.

• Wenn Sie infizierte npm-Pakete installiert haben, deinstallieren Sie diese umgehend. 
• Prüfen Sie Ihre Systeme danach vollständig mit den von aikido bereitgestellten IoCs und Ihrer eingesetzten Anti-Malware-Software.
• Prüfen Sie anschließend, ob neuere abgesicherte Versionen der deinstallierten npm-Pakete verfügbar sind.