Sicherheitsforscher entdecken eine kritische neue Malware-Kampagne im npm-Ökosystem, die sich gegen Entwickler und deren wertvolle Zugangsdaten richtet. Der Angriff, der mit dem kompromittierten npm-Konto ‚czirker‘ in Verbindung steht, betrifft 23 Packages und hat zum Zeitpunkt der Entdeckung bereits 408 infizierte GitHub-Repositories mit gestohlenen Anmeldedaten hinterlassen.
Wie der Angriff funktioniert
Die Kampagne trägt den Namen ‚Alright Lets See If This Works‘ und ist eine Variante der bereits bekannten Malware-Familien Shai-Hulud, Miasma und Hades. Die Angreifer missbrauchen eine vorkonfigurierte binding.gyp-Datei, die automatisch schädlichen Code ausführt, sobald ein Entwickler npm install ausführt. Das bedeutet, dass bereits die Installation eines infizierten Pakets ausreicht, um zum Opfer zu werden.
Eines der betroffenen Packages ist leo-logger, das wöchentlich rund 3.140 Mal über npm heruntergeladen wird. Die Malware zielt darauf ab, GitHub-Tokens, npm-Tokens und Cloud-Credentials von Plattformen wie AWS, GCP und Azure zu stehlen. Darüber hinaus exfiltriert sie lokale Umgebungsdaten, missbraucht GitHub-Workflows und verbreitet sich über die npm-Lieferkette weiter.
Was Entwickler jetzt tun sollten
Sicherheitsteams erhalten die dringende Empfehlung, sofort zu handeln. Überprüfen Sie Lockfiles und Paketverläufe auf infizierte Versionen und entfernen oder downgraden Sie betroffene Packages so schnell wie möglich. Darüber hinaus ist es unerlässlich, sämtliche Secrets zu rotieren, darunter npm-Tokens, GitHub-Tokens, Cloud-Credentials, CI/CD-Schlüssel und Anwendungssecrets.
Außerdem empfiehlt SlowMist, die Zwei-Faktor-Authentifizierung (2FA) für alle betroffenen Konten zu aktivieren. Zu den betroffenen Packages gehören unter anderem npm:leo-sdk, npm:leo-cli, npm:leo-auth und Dutzende weitere leo-connector-Pakete. Die Situation wird als ‚kritisch‘ eingestuft und aktiv überwacht. Die neuesten Updates sind unter https://enterprise.misteye.io/threat-intelligence/SM-2026-733101 zu verfolgen.
Erhalten Sie 10 Euro kostenlose Krypto bei Bitvavo
In Zusammenarbeit mit Bitvavo dürfen wir unseren Lesern 10 Euro kostenlose Kryptowährung anbieten. Dies ist eine exklusive Kooperation mit dem Marktführer in Europa. Zusätzlich können Sie in den ersten 7 Tagen 10.000 € völlig gebührenfrei auf der Plattform handeln, was einem Wert von 25 Euro entspricht.
Bitvavo bietet mehr als 400 verschiedene Kryptowährungen an und verfügt über eine MiCA-Lizenz.
Starten Sie Ihr Krypto-Abenteuer mit einem Willkommensgeschenk von 10 Euro (eine Einzahlung von 10 € ist erforderlich) und erstellen Sie Ihr Konto über den untenstehenden Button. Alle Bedingungen zu diesem Angebot finden Sie auf der Aktionsseite.