Angriff auf node.js: Keine Gefahr für NoSpamProxy-Kunden

Am Montag, 8. September 2025 wurde ein bedeutender Angriff auf die Lieferkette für Softwarepakete für die weit verbreitete Javascript-Laufzeitumgebung node.js entdeckt. Für NoSpamProxy-Kunden besteht keine Gefahr.

Die Angreifer sind über Spearphishing in das npm-Konto eines Entwicklers eingedrungen und haben über den Paketmanager verschleierten Schadcode in zahlreiche populäre Pakete eingeschleust. Nach aktuellem Kenntnisstand scheint es sich hierbei um den bislang größten erfolgreichen Angriff auf npm zu handeln.

Etwa 20 davon sind Pakete des Entwicklers qix, die wöchentlich mehr als zwei Milliarden Mal heruntergeladen werden. Dies hat eine Wirkung auf weite Teile des Node.js-Universums. Darüber hinaus gibt es Hinweise darauf, dass auch Pakete anderer Entwickler mit Malware verunreinigt worden sein könnten.

Die bislang entdeckte und untersuchte Malware manipuliert bestimmte Browser-Routinen, um Daten im Webbrowser des Opfers abzufangen und zu manipulieren. Dies betrifft sowohl den klassischen Netzwerkverkehr als auch den Verkehr von und zu Programmierschnittstellen (API). Zusätzlich werden Routinen in gegebenenfalls installierten Browsererweiterungen für Kryptowährungsportemonnaies (Wallets) verändert.

Das Ziel der Angreifer ist offenbar, Einheiten verschiedener Kryptowährungen zu entwenden. Die Schadsoftware wartet auf Zeichenketten, die wie Wallet-Adressen aussehen, und ersetzt die legitimen Adressen durch andere Adressen, die mutmaßlich vom Angreifer kontrolliert werden.

Bei der Entwicklung von NoSpamProxy nutzen wir zwar npm, allerdings nicht die kompromittierten Pakete. Für NoSpamProxy-Kunden besteht also keine Gefahr.