Neue npm-Malware

- 05. März 2026

Oliver Peters / 123rf.com

Npm ist die zentrale Paketplattform für Node.js und JavaScript. Entwickler nutzen sie, um Bibliotheken und Werkzeuge in ihre Projekte einzubinden. Genau dieses Ökosystem ist nun Ziel einer neuen Malware-Kampagne geworden: Über manipulierte Pakete versucht die Schadsoftware, sich in Software-Lieferketten festzusetzen und sensible Zugangsdaten abzugreifen.

Im Fokus stehen unter anderem Secrets für KI-Dienste, SSH, AWS und GitHub. Dabei kommt auch ein präparierter MCP-Server zum Einsatz. MCP steht für Model Context Protocol und beschreibt eine Schnittstelle, über die KI-Assistenten auf Werkzeuge, Datenquellen oder lokale Dienste zugreifen können. Ein MCP-Server stellt solche Funktionen bereit und kann einem KI-System beispielsweise bestimmte Tools anbieten. In diesem Fall wird genau das missbraucht, um Coding-Assistenten unbemerkt zur Suche nach sensiblen Daten zu verleiten.

Bekannt sind derzeit 19 verseuchte Pakete aus zwei npm-Accounts. Die Angreifer tarnen sie als legitime Projekte, indem sie Namen bekannter Pakete leicht abwandeln. Ein Beispiel ist claud-code@0.2.1, das dem Original claude-code stark ähnelt und nach außen zunächst unauffällig wirkt. Tatsächlich wird mit der Einbindung aber Schadcode aktiviert. Die Malware durchsucht infizierte Systeme automatisiert nach API-Schlüsseln von Anbietern wie Anthropic, Google und OpenAI. Außerdem kann sie CI-Secrets über HTTPS oder notfalls per DNS exfiltrieren.

Mithilfe missbrauchter GitHub-Tokens schleust sie zusätzliche Abhängigkeiten und manipulierte Workflows in Repositories ein und verbreitet sich so weiter. Hinzu kommt ein deaktivierter Kill-Switch, der unter bestimmten Bedingungen das Home-Verzeichnis eines betroffenen Systems löschen kann – nämlich dann, wenn der Zugriff auf GitHub- oder Npm-Konten verloren geht. Zusätzlich installiert die Schadsoftware im Home-Verzeichnis ein Modul namens McpInject, etwa unter ~/.dev-utils/. Der dazugehörige MCP-Server gibt sich als legitimer Dienst aus und registriert scheinbar harmlose Werkzeuge wie index_project, lint_check und scan_dependencies. Tatsächlich verbergen sich dahinter Prompt-Injections, die Coding-Assistenten heimlich dazu bringen sollen, nach sensiblen Zugangsdaten zu suchen und diese an einem später auslesbaren Ort abzulegen.

SCHLAGWORTE
MCP
Security

Linux-Kommandozeilentools kommen für Windows

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

Trump unterzeichnet Anordnung zur Überprüfung von KI-Modellen

Die Anordnung stellt eine Abkehr von der bisher vom Weißen Haus gegenüber KI verfolgten zurückhaltenden Haltung dar. Sie folgt auf Debatten darüber, wie man die Kontrolle über KI-Modelle erlangen könne, ohne dabei die Innovation zu behindern.

Vim Classic in erster Version erschienen

Vim Classic ist einer von zwei Vim-Forks (der andere ist EVi), die sich auf die Fahnen geschrieben haben, ganz ohne KI-Unterstützung entwickelt zu werden. Vim Classic geht auf Vim 8.2.0148 zurück (EVi dagegen auf Vim 9.10 mit dem neuen Vim9-Script-Feature) und ist nun in der ersten Version 8.3...

Flathub verbietet KI-generierte Inhalte aller Art

Flathub, das zentrale Repository für Flatpak-Apps, hat eine neue Policy eingeführt, der zufolge KI-generierte oder -assistierte Inhalte verboten sind.

Anthropic beantragt Börsengang

Anthropic, das KI-Unternehmen hinter dem Chatbot Claude, hat vertraulich einen Antrag auf einen Börsengang eingereicht.

E-Mail Benachrichtigung

0 Kommentare

Älteste

Neuste Beste Bewertung

Inline Feedbacks

Alle Kommentare anzeigen