Zwei Angriffe in zehn Tagen: Was hinter dem großen npm-Hack steckt

Zwei Angriffe in zehn Tagen: Was hinter dem großen npm-Hack steckt

In den letzten Tagen hat die weltweite JavaScript-Community eine der schwersten Angriffsserien ihrer Geschichte erlebt. Gleich zwei verschiedene Attacken trafen das größte Software-Ökosystem der Welt und das in kürzester Zeit.

Viele Unternehmen, Webseiten und Apps, die täglich Milliarden von Menschen erreichen, bauen auf sogenannte npm-Pakete. Das sind kleine Bausteine von Code, die Entwickler:innen wie Legosteine zusammensetzen. Das Problem: Wenn so ein Baustein vergiftet ist, können Millionen andere Projekte betroffen sein.

Angriff 1: Die gekaperten Bausteine (8. September)

Am 8. September gelang es Angreifern, den Zugang eines bekannten Entwicklers zu übernehmen. Sie veröffentlichten manipulierte Versionen von extrem populären Bausteinen wie „debug“ oder „chalk“, die fast überall im Netz genutzt werden.

Der versteckte Schadcode tat etwas Heimtückisches: Er konnte im Browser mitlesen und gezielt Krypto-Transaktionen umleiten – also Geldströme verändern, ohne dass Nutzer:innen es merken.

Zum Glück dauerte das Fenster nur etwa zwei Stunden, bevor die manipulierten Pakete gelöscht wurden. Doch durch die riesige Verbreitung dieser Bausteine war die potenzielle Reichweite enorm.

Angriff 2: Der selbstverbreitende Wurm „Shai-Hulud“ (15.–18. September)

Nur wenige Tage später folgte die nächste Attacke, diesmal noch raffinierter.

Forscher gaben ihr den Namen „Shai-Hulud“, nach dem Wüstenwurm aus Dune. Und wie im Film hatte auch dieser Wurm etwas Selbstständiges: Sobald er einen Zugang fand, durchsuchte er automatisch den Speicher des Opfers nach geheimen Schlüsseln und Passwörtern – und nutzte diese, um weitere Bausteine zu infizieren.

Innerhalb weniger Tage waren über 180 npm-Pakete betroffen. Unter anderem auch Pakete von großen Firmen wie CrowdStrike.

Damit war dieser Angriff etwas völlig Neues: ein sich selbst verbreitender Wurm im Herz der Open-Source-Welt.

Meine persönliche Erfahrung

Als ich von diesen Angriffen erfuhr, war das gar nicht so einfach. Zuerst habe ich überhaupt nicht mitbekommen, dass etwas passiert ist, keine offizielle Nachricht oder offizielles Statement, kein Hinweis in den Tools selbst. Ich habe die Information schliesslich von einem Freund bekommen, der mir ein Video geschickt hat. Erst da wurde mir bewusst, wie gross und schwerwiegend das Ganze wirklich war.

Besonders erschreckend fand ich: Ich benutze npm ständig. Mit einem einfachen npm install, um Werkzeuge zu installieren. Plötzlich merkte ich: Moment, das betrifft ja auch mich direkt. Durch das Video wurde mir erst klar, wie unglaublich komplex das alles ist und wie einzigartig die Angriffe aufgebaut wurden.

Ehrlich gesagt bin ich in dem Moment etwas in Panik geraten. Ich habe Leute gefragt, von denen ich dachte, dass sie mehr wissen, aber auch da merkte ich: Viele nutzen npm, ohne wirklich zu verstehen, wie es im Hintergrund funktioniert.

Und dann kamen die Fragen:

• Soll ich jetzt alles deinstallieren?
• Muss ich meinen Code komplett neu schreiben, ohne npm-Pakete?
• Oder warte ich einfach, bis wieder ein Video kommt, das Entwarnung gibt?

Diese Unsicherheit hat mich ziemlich nachdenklich gemacht. Es zeigte mir, wie wenig Transparenz es für Entwickler:innen gibt, die nicht tief in der Materie stecken, und wie abhängig wir alle von diesen unsichtbaren Bausteinen sind.

Warum das so gefährlich ist

• Reichweite: npm ist das Rückgrat von Millionen Websites, Apps und Servern.
• Vertrauen: Entwickler:innen verlassen sich blind auf die Bausteine. Wenn einer kompromittiert ist, zieht er viele andere mit.
• Geschwindigkeit: Die Angriffe verbreiten sich in Stunden, während die Entdeckung oft Tage dauert.

Was getan wird und was Nutzer:innen wissen sollten

Unternehmen und Maintainer reagieren bereits:

• Sie drehen Zugänge zurück, ändern Schlüssel und Passwörter.
• Sie untersuchen, welche Versionen betroffen waren.
• Sie arbeiten daran, dass solche Bausteine künftig digital signiert werden, sodass Manipulationen schneller auffallen.

Für Endnutzer:innen gilt:

• Wer normale Webseiten oder Apps nutzt, muss nichts direkt tun.
• Das Risiko lag vor allem bei Unternehmen und Entwickler:innen, die die schadhaften Versionen zwischen dem 8. und 18. September installiert haben könnten.
• Wichtig ist aber: Auch grosse Teile des Internets sind verletzlich, wenn nur ein kleiner Baustein angegriffen wird.

Was wir daraus lernen können

Diese Doppelschläge zeigen:

• Open Source ist mächtig, aber verletzlich.
• Es braucht neue Sicherheits-Standards, damit nicht einzelne gestohlene Passwörter ganze Ökosysteme in Gefahr bringen.
• Nutzer:innen sollten verstehen, dass viele digitale Dienste auf unsichtbaren Gemeinschaftsprojekten beruhen und dass deren Schutz genauso wichtig ist wie klassische IT-Sicherheit.

Weiterführende Videos & Ressourcen

Für alle, die sich tiefer informieren möchten, hier drei Quellen, die mir geholfen haben, das Thema besser zu verstehen:

• Video: technische Analyse — YouTube
• Incident-Analyse: Shai-Hulud (Bericht) — KOI Security
• Video: detaillierte Erklärung und Kontext — YouTube

Fazit

Der npm-Hack ist ein Weckruf. In nur zehn Tagen haben zwei Angriffe gezeigt, wie fragil unsere digitale Infrastruktur sein kann und wie wichtig es ist, Vertrauen und Kontrolle in der Software-Lieferkette neu zu denken.