#Netzwerk & Sicherheit · 3 Min. Lesezeit · Tim Rinkel

NORDKOREA-SCHOCK! 1.700 SCHAD-Pakete attackieren npm und PyPI – DU bist betroffen!

Nordkoreanische Hacker haben über 1.700 schadhafte Pakete in npm, PyPI, Go und Rust eingeschleust. Erfahre was passiert ist und wie du dein Homelab schützt.

NORDKOREA-SCHOCK! 1.700 SCHAD-Pakete attackieren npm und PyPI – DU bist betroffen!

MEGA-SCHOCK für die Open-Source-Welt! Nordkoreanische Hacker haben ÜBER 1.700 schadhafte Pakete in den GRÖSSTEN Open-Source-Registries versteckt – npm, PyPI, Go, Rust und Packagist!

Es ist der bislang GRÖSSTE bekannte koordinierte Supply-Chain-Angriff auf das Open-Source-Ökosystem! Was dahinter steckt – und wie du dich schützt!

UNFASSBAR: Das ist PASSIERT!

Sicherheitsforscher von Socket haben seit Januar 2025 über 1.700 schadhafte Pakete identifiziert! Alle in Verbindung mit der nordkoreanischen Hackergruppe „Contagious Interview“ (auch bekannt als UNC1069, BlueNoroff, Sapphire Sleet)!

Die Gruppe ist FINANZIELL motiviert und Teil des staatlich gesteuerten nordkoreanischen Cyberapparats!

WAHNSINN: So BRUTAL funktioniert der Angriff!

Die Methode ist SUBTIL:

  • Pakete tarnen sich als legitime Entwickler-Tools und Bibliotheken!
  • Nach der Installation laden sie im Hintergrund Schadpayloads nach!
  • Plattformspezifische Trojaner mit Infostealer- und Remote-Access-Funktionen!
  • Angreifer greifen auf Entwicklerrechner zu, stehlen Credentials, dringen in Infrastruktur ein!

SCHOCK: Axios-Paket HINTERTÜR!

Besonders PERFIDE: Die Gruppe nutzte eine Hintertür im beliebten Axios-npm-Paket!

  • npm-Konto des Maintainers via Social Engineering übernommen!
  • Kompromittierte Version mit WAVESHAPER.V2-Implantat veröffentlicht!
  • Axios wird von Millionen Projekten TÄGLICH genutztpotenzielle Reichweite ENORM!

MEGA-KAMPF: Security Alliance!

Zwischen Februar und April 2026 hat die Security Alliance (SEAL) 164 Domains blockiert, die UNC1069 nutzte! Diese imitierten legitime Dienste wie Microsoft Teams und Zoom!

BETROFFEN: 5 ÖKOSYSTEME!

Der Supply-Chain-Angriff zielt auf:

  • npm (JavaScript/Node.js) – größtes Ökosystem!
  • PyPI (Python) – KI/ML-Community stark betroffen!
  • Go Modules – DevOps/Cloud!
  • Rust (crates.io) – Systems Programming!
  • Packagist (PHP) – Web-Applikationen und CMS!

Besonders gefährdet: Entwickler, die regelmäßig Drittanbieter-Pakete installieren, OHNE deren Quellen zu prüfen!

HORROR-BEISPIEL: LiteLLM-Breach!

Ein besonders KRASSES Beispiel: Der LiteLLM-Vorfall im März 2026!

  • LiteLLM: Python-Bibliothek mit täglich 3,4 Millionen Downloads!
  • Genutzt von KI-Entwicklern als Gateway zu LLM-Providern!

Der Angriff:

  1. Angreifer (TeamPCP) kompromittierten Trivy (Open-Source-Sicherheitsscanner)!
  2. Über dessen GitHub Action erlangten sie PyPI-Zugangsdaten des LiteLLM-Maintainers!
  3. Zwei manipulierte Versionen (1.82.7 und 1.82.8) veröffentlicht!
  4. Nur 3 Stunden verfügbar – aber zehntausendfach heruntergeladen!

Der Schaden:

  • AWS- und GCP-Credentials gestohlen!
  • GitHub-Tokens und SSH-Keys abgegriffen!
  • Krypto-Wallets (Bitcoin, Ethereum, Solana, Litecoin) entwendet!
  • Aktivierung beim INSTALLIEREN über Pythons .pth-Mechanismus!

GEFAHR: So wirst DU Opfer!

Typische Angriffs-Szenarien:

  1. „Contagious Interview“-Phishing: Fake-Jobangebote mit Schad-Repos!
  2. Typosquatting: Pakete mit ähnlichen Namen (z.B. react-router vs. react-routre)!
  3. Dependency-Confusion: Interne Paketnamen werden öffentlich als Malware veröffentlicht!
  4. Maintainer-Übernahme: Social Engineering gegen Paket-Eigentümer!

SCHÜTZ DICH: Die 10 goldenen Regeln!

Mein Pflicht-Schutz-Plan:

  1. Dependency-Audit bei jeder Installation:
    npm audit
    pip-audit
    cargo audit
  2. Lock-Files verwenden (package-lock.json, Pipfile.lock, Cargo.lock)!
  3. Pinned Versions – keine latest-Tags in Production!
  4. 2FA für npm/PyPI-Accounts aktivieren!
  5. Sandbox-Umgebungen für Tests (Docker, VMs)!
  6. Paket-Reputation prüfen – Download-Zahlen, Maintainer-Historie!
  7. SBOM (Software Bill of Materials) erstellen!
  8. Signierte Pakete bevorzugen!
  9. Post-Install-Scripts genau prüfen!
  10. Isolierte Build-Environments in CI/CD!

PROFI-TOOLS: Sicherheit-Scanner!

Diese Tools MUSST du kennen:

  • Socket.dev – Supply-Chain-Scanner für npm!
  • Snyk – Multi-Ecosystem-Security!
  • GitHub Dependabot – automatische Updates!
  • Renovate – intelligentes Dependency-Management!
  • Trivy (selbst geprüft nutzen!) – Container- und Dependency-Scans!

FÜR HOMELABBER: Risiko reduzieren!

Spezifische Tipps:

  • Nur GEPRÜFTE Images in Docker nutzen (offizielle, library/)!
  • NPM-Proxy (Verdaccio) für interne Projekte!
  • Isolierte VMs für jede Codebase!
  • SSH-Key-Rotation alle 6 Monate!
  • Secrets-Manager (Vaultwarden, HashiCorp Vault)!

FAZIT: Supply-Chain-Sicherheit ist PFLICHT!

Klare Ansage: Der nordkoreanische Angriff ist ein Weckruf! Wer ungeprüft Pakete installiert, spielt russisches Roulette mit seiner kompletten Infrastruktur!

Mein Tipp: HEUTE Dependency-Audit auf ALLEN Projekten! MORGEN 2FA überall aktivieren! Übermorgen automatisierte Scans in CI/CD integrieren!

Auf Lapalutschi.de kommt bald der große Supply-Chain-Härtungs-Guide – von Socket bis SBOM! Bleib dran!

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert