Der größte Angriff auf die NPM Lieferkette

Einleitung: Größter NPM-Lieferkettenangriff in der Geschichte

Im September 2025 erschütterte ein Supply-Chain-Angriff die Open-Source-Welt: 18 weit verbreitete NPM-Pakete – zusammen über 2 Milliarden Downloads pro Woche – wurden durch Schadcode kompromittiert. Eine Maintainerin (Nutzername “qix”) fiel auf eine Phishing-E-Mail herein, wodurch Angreifer Zugang zum NPM-Account erhielten und neue, manipulierte Paketversionen veröffentlichten. Die Schadsoftware zielte speziell auf Krypto-Transaktionen ab: Sie nistete sich im Browser ein, überwachte Web3-Aktivitäten, manipulierte Wallet-Interaktionen und änderte unbemerkt Zieladressen, um Transaktionen an Angreifer-Wallets umzuleiten. Glücklicherweise wurde der Angriff schnell entdeckt und eingedämmt, sodass der unmittelbare finanzielle Schaden gering blieb – Berichten zufolge erbeuteten die Angreifer nur ein paar Cent in Kryptowährung. Doch Experten warnen, dass ein ähnlicher Vorfall mit einem aggressiveren Payload (etwa Spionage oder Ransomware) weitaus verheerendere Folgen für tausende Unternehmen hätte‍. Software-Lieferkettenangriffe wie dieser nehmen rasant zu: Gartner prognostiziert, dass bis 2025 45 % der Unternehmen weltweit einen solchen Angriff erlebt haben werden (dreimal so viele wie 2021). Für Entscheider*innen in der IT-Security ist dies ein Weckruf, die Risiken in der eigenen Software-Lieferkette dringend auf den Prüfstand zu stellen.

So prüfen Sie, ob Ihr Unternehmen betroffen ist

Unternehmen, die NPM-Pakete nutzen, sollten umgehend kontrollieren, ob kompromittierte Versionen eingebunden wurden.

Codebasis durchsuchen

Mit folgendem Befehl können Sie gezielt nach den Schadcode-Artefakten (_0x112fa8) in JavaScript-Dateien suchen:

rg -uu --max-columns=80 --glob '*.js' _0x112fa8


Falls Treffer vorliegen, ist höchste Vorsicht geboten – die entsprechenden Komponenten sollten sofort entfernt oder aktualisiert werden.

Konkret betroffene Paketversionen

Nach aktuellem Stand sind folgende Pakete kompromittiert:

• [email protected]
• [email protected] (bereits zurückgezogen, Stand 8. Sep, 18:09 CEST)
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]
• [email protected]

Empfehlung: Überprüfen Sie Ihre Abhängigkeiten (z. B. mit npm ls oder yarn list) und aktualisieren Sie kompromittierte Pakete sofort auf sichere Versionen.

Herausforderungen für Unternehmen und CISOs

Für CISOs, CIOs und IT-Leitungen verdeutlicht dieser Vorfall die erheblichen Herausforderungen beim Management von Open-Source-Abhängigkeiten. Moderne Anwendungen basieren auf unzähligen externen Libraries – selbst vertraute Module können über Nacht zur Gefahr werden. Die Krux: Man muss nicht nur seinen direkten Software-Lieferanten vertrauen, sondern auch allen deren Zulieferern. Ein einzelnes kompromittiertes Paket kann potenziell hunderte Anwendungen in verschiedensten Unternehmen infizieren. Die Erkennung solcher Angriffe ist schwierig, da der Schadcode oft geschickt verschleiert ist und herkömmliche Sicherheitsmaßnahmen ihn nicht sofort als Bedrohung erkennen. In diesem NPM-Fall wirkte die Malware nur unter bestimmten Bedingungen (im Browser bei Krypto-Transaktionen), was sie in vielen Umgebungen zunächst unbemerkt ließ‍. Reaktionszeit ist kritisch: Zwischen der Veröffentlichung der manipulierten Versionen und ihrer Entdeckung verging kurze Zeit – doch jedes Unternehmen, das in diesem Fenster deployt oder gebaut hat, musste anschließend aufwendig seine Systeme bereinigen. Zwar blieb der finanzielle Direktschaden minimal, aber die Folgekosten waren beträchtlich: Weltweit investierten Teams tausende Stunden in Incident Response und Abhilfe, und der Vorfall wird zahlreiche neue Sicherheitsinvestitionen auslösen. Dieser Aufwand und potenzielle Reputationsschäden treffen letztlich die Unternehmen selbst. Die Herausforderung besteht also darin, präventiv solche Risiken zu managen und bei einem Vorfall sofort informiert zu sein, um Schaden zu begrenzen.

‍

Wie blacklens.io unterstützt

Hier setzt blacklens.io als umfassende Cybersecurity-Plattform an, um Unternehmen proaktiv gegen derartige Supply-Chain-Gefahren zu wappnen. Blacklens.io bietet ganzheitliches Attack Surface Management, was bedeutet, dass alle externen IT-Assets und deren Schwachstellen kontinuierlich erfasst und überwacht werden. Dazu zählt auch die Überwachung eingesetzter Technologien und Komponenten – wenn z. B. eines Ihrer Web-Assets plötzlich von einer bekannten verwundbaren oder kompromittierten Bibliothek abhängt, kann das frühzeitig erkannt werden. Insbesondere die Funktion Emerging Threat Scanning & Notifications warnt Sie in Echtzeit vor neuen Bedrohungen. Wäre Ihr Unternehmen von dem NPM-Angriff betroffen, würde blacklens.io umgehend über die kompromittierten Pakete informieren und Handlungsempfehlungen liefern.

Konkrete Mehrwerte für CISO, CIO und Co.

Ein proaktiver Sicherheitsansatz mithilfe von Plattformen wie blacklens.io bietet der IT-Führungsebene greifbare Vorteile:

• Frühwarnsystem für neue Bedrohungen: Sie erfahren sofort von kritischen Vorfällen wie dem NPM-Supply-Chain-Angriff und können umgehend Gegenmaßnahmen einleiten, noch bevor das breite Publikwerden Schaden anrichtet.
• Transparenz über Ihre Angriffsfläche: Durch kontinuierliches Attack Surface Management wissen Sie genau, welche Assets und Drittkomponenten Sie im Einsatz haben. Das ermöglicht eine schnelle Einschätzung, ob Ihr Unternehmen vom Ausfall oder Kompromittierung einer bestimmten Library betroffen ist.
• Reduzierung des Risikos von Kompromittierungen: Durch automatisierte Schwachstellen- und Leak-Scans können viele Angriffswege – ob über veraltete Software, Fehlkonfigurationen oder geleakte Zugänge – im Vorfeld geschlossen werden. Dies erschwert Angreifern das Eindringen, selbst wenn irgendwo in der Lieferkette eine Lücke entsteht.
• Effizientes Incident Response: Sollte dennoch ein Vorfall eintreten, liefert blacklens.io kontextreiche Informationen (z. B. betroffene Assets, Indicators of Compromise) auf einen Blick. Das spart wertvolle Zeit bei der Ursachenanalyse und Eindämmung.
• Vertrauensbildung und Compliance: Indem Sie zeigen, dass Sie Ihre Lieferkettenrisiken im Griff haben, stärken Sie das Vertrauen von Kunden und Partnern. Viele Branchenstandards und Regulatoren fordern heute ein Supply-Chain Risk Management – blacklens.io unterstützt Sie dabei mit den nötigen Nachweisen und Reports.

Fazit und Ausblick

Der jüngste NPM-Lieferkettenangriff führt eindrücklich vor Augen, dass selbst weit verbreitete Open-Source-Komponenten abrupt zur Bedrohung werden können. Für Unternehmen bedeutet das: Vorsorge statt Nachsorge. CISO und IT-Leiter*innen sollten jetzt die Lehren ziehen – von rigoroserer Prüfung und Absicherung der Software-Lieferanten bis hin zur Einführung von Lösungen für kontinuierliches Attack Surface Monitoring. Die Investition in proaktive Sicherheitsplattformen wie blacklens.io zahlt sich aus, indem Risiken früh erkannt und gemindert werden. Angesichts der Prognose rasant zunehmender Supply-Chain-Angriffe ist es entscheidend, heute die Weichen zu stellen. Handeln Sie jetzt, um Ihre Organisation vor der nächsten Welle von Lieferkettenattacken zu schützen – bevor Angreifer die Schwachstellen Ihrer vertrauensvollen Verbindungen finden. Vertrauen Sie nicht blind, sondern schaffen Sie sich mit den richtigen Tools die nötige Transparenz und Kontrolle über Ihre gesamte digitale Lieferkette.

Weitere Informationen: Wenn Sie mehr darüber erfahren möchten, wie blacklens.io Ihre Sicherheitsstrategie stärken kann, stehen wir Ihnen gerne beratend zur Seite. Lernen Sie, wie eine umfassende Attack-Surface-Management-Plattform hilft, Vorfälle wie den NPM-Angriff rechtzeitig zu erkennen und effektiv darauf zu reagieren. Denn eines ist sicher: In der heutigen Bedrohungslandschaft gewinnt, wer vorbereitet ist.