Supply-Chain-Angriff auf Mastra AI: Wie nordkoreanische Hacker npm-Pakete missbrauchten
Von Mag-Info Tech editorial · 2026-06-21
Wie der Angriff ablief: Kompromittierung eines npm-Maintainer-Kontos
Ein einzelnes npm-Konto wurde zum Ausgangspunkt für eine gezielte Lieferkettenattacke. Die Angreifer übernahmen das Konto „ehindero“, das über Schreibrechte für mehr als 140 Pakete im @mastra-Bereich verfügte. Mit diesem privilegierten Zugriff veröffentlichten sie aktualisierte Versionen dieser Pakete, die einen zusätzlichen, bösartigen Abhängigkeitscode namens „easy-day-js“ einschleusten. Dieser Name ist eine bewusste Falschschreibung der legitimen JavaScript-Bibliothek dayjs, die in der Entwicklercommunity weit verbreitet ist. Durch diese Täuschung installierten Entwickler ungewollt den Schadcode, sobald sie die aktualisierten Pakete in ihre Projekte einbanden.
Sobald „easy-day-js“ aktiv wurde, führte es einen Post-Installations-Hook aus. Dieser Mechanismus ermöglichte es dem Schadcode, auf dem System des Entwicklers zu laufen und eine erste Stufe der Malware zu installieren. Der Hook deaktivierte zudem die TLS-Zertifikatsprüfung, um verschlüsselte Kommunikation mit den Angreifern zu erleichtern. Anschließend kontaktierte die Malware eine command-and-control-Infrastruktur unter der Kontrolle der Hacker, lud eine zweite Payload herunter und führte diese als versteckten Hintergrundprozess aus. Diese zweite Stufe war ein plattformübergreifender Informationsdiebstahl, der gezielt Windows-, Linux- und macOS-Systeme infizieren konnte.
Plattformübergreifender Schadcode mit Fokus auf Entwickler-Workstations
Der zweite Payload analysierte das infizierte System und sammelte detaillierte Informationen. Dazu gehörten Host-Metadaten, Browserverläufe, installierte Anwendungen und laufende Prozesse. Besonders auffällig war die gezielte Suche nach 166 verschiedenen Kryptowährungs-Wallet-Erweiterungen im Browser. Dazu zählten bekannte Wallets wie MetaMask, Phantom, Coinbase Wallet, Binance Wallet und TronLink. Diese Fokussierung deutet darauf hin, dass die Angreifer gezielt nach Zugangsdaten und digitalen Vermögenswerten suchten, um diese später für finanzielle Transaktionen oder Erpressungen zu nutzen.
Die Malware nutzte unterschiedliche Methoden, um sich dauerhaft auf den Systemen zu verankern. Auf Windows-Systemen wurden Registry-Einträge unter den Run-Keys genutzt, um die Malware beim Start des Systems automatisch auszuführen. Auf macOS nutzte der Schadcode LaunchAgents, um die Persistenz zu sichern, während auf Linux-Systemen systemd-Dienste zum Einsatz kamen. Diese plattformspezifischen Ansätze zeigen, dass die Angreifer ihre Angriffswerkzeuge sorgfältig an die Zielumgebungen anpassten, um eine möglichst hohe Erfolgsquote zu erzielen.
Verbindung zu nordkoreanischen Hackergruppen
Microsoft ordnete den Angriff mit hoher Konfidenz der Gruppe Sapphire Sleet zu, die auch unter dem Namen BlueNoroff bekannt ist. Diese Gruppe wird als staatlich unterstützt eingestuft und ist primär im Finanzsektor aktiv. Die Zuordnung basiert auf mehreren Indikatoren, darunter die verwendeten Taktiken, Techniken und Prozeduren (TTPs), die in der Vergangenheit bereits mit dieser Gruppe in Verbindung gebracht wurden. Besonders auffällig war die Nutzung von Command-and-Control-Servern, die zuvor in anderen Kampagnen dieser Gruppe beobachtet wurden.
Die Analyse der TTPs zeigte, dass die Angreifer nach der Erstinfektion gezielt weitere Aktivitäten durchführten, die typisch für Sapphire Sleet sind. Dazu gehörte die gezielte Suche nach sensiblen Daten, die für finanzielle Transaktionen oder Erpressungen genutzt werden könnten. Die Kombination aus technischer Raffinesse und dem spezifischen Fokus auf Krypto-Wallets und Zugangsdaten unterstreicht die strategische Ausrichtung dieser Gruppe, finanzielle Gewinne durch Cyberangriffe zu erzielen.
Auswirkungen auf die npm-Ökosysteme und Open-Source-Sicherheit
Der Angriff auf das Mastra-Paket-Ökosystem hat die Sicherheitsrisiken im Zusammenhang mit Open-Source-Software erneut verdeutlicht. npm ist eine der größten Paketquellen für JavaScript-Entwickler, und die Kompromittierung eines Maintainer-Kontos mit weitreichenden Schreibrechten stellt ein erhebliches Risiko dar. Die Tatsache, dass über 140 Pakete betroffen waren, zeigt, wie schnell sich Schadcode in einem Ökosystem verbreiten kann, das auf Vertrauen und Zusammenarbeit basiert.
Für Entwickler und Unternehmen bedeutet dieser Vorfall, dass sie ihre Abhängigkeiten kritisch prüfen müssen. Die Verwendung von Paketen mit verdächtigen Namen oder ungewöhnlichen Update-Pfaden sollte als Warnsignal betrachtet werden. Zudem ist es ratsam, automatisierte Scans von Paketabhängigkeiten in CI/CD-Pipelines zu integrieren, um potenziell bösartige Abhängigkeiten frühzeitig zu erkennen. Die Nutzung von Tools zur Überprüfung der Integrität von Paketen kann helfen, solche Angriffe zu verhindern oder zumindest ihre Auswirkungen zu minimieren.
Echte Ergebnisse von MEFAIs KI. Erhalten Sie $50 Rabatt auf den Pro-Plan.
Gesponsert · Vergangene Leistung ist kein Indikator für zukünftige Ergebnisse. Keine Finanzberatung.
Schutzmaßnahmen für Entwickler und Unternehmen
Entwickler sollten ihre npm-Konten und die damit verbundenen Berechtigungen regelmäßig überprüfen. Besonders wichtig ist es, die Zwei-Faktor-Authentifizierung für alle Konten zu aktivieren, um die Sicherheit zu erhöhen. Zudem sollten Entwickler darauf achten, nur Pakete aus vertrauenswürdigen Quellen zu installieren und verdächtige Pakete umgehend zu melden. Die Nutzung von Paketmanagern mit integrierten Sicherheitsfunktionen, wie etwa npm-audit, kann helfen, bekannte Sicherheitslücken und bösartige Pakete zu identifizieren.
Unternehmen sollten ihre Entwicklungsprozesse anpassen, um die Risiken von Lieferkettenangriffen zu minimieren. Dazu gehört die Implementierung von Sandbox-Umgebungen für die Installation und den Test von Paketen, um potenziell bösartigen Code zu isolieren. Zudem sollten automatisierte Sicherheits-Scans in die CI/CD-Pipelines integriert werden, um verdächtige Aktivitäten frühzeitig zu erkennen. Die Schulung von Entwicklern im Umgang mit Sicherheitsrisiken und die Sensibilisierung für typische Angriffsmuster sind ebenfalls entscheidend, um die Widerstandsfähigkeit gegen solche Angriffe zu erhöhen.
Rechtliche und politische Konsequenzen
Der Angriff unterstreicht die Notwendigkeit internationaler Zusammenarbeit im Kampf gegen Cyberkriminalität. Da die Angreifer mutmaßlich einer staatlich unterstützten Gruppe zugeordnet werden, sind diplomatische und rechtliche Schritte erforderlich, um solche Aktivitäten zu unterbinden. Die internationale Gemeinschaft muss gemeinsam Standards für die Sicherheit von Open-Source-Software entwickeln und durchsetzen, um die Risiken für Unternehmen und Entwickler weltweit zu minimieren.
Für Unternehmen, die von solchen Angriffen betroffen sind, ist es wichtig, die Vorfälle zu dokumentieren und rechtliche Schritte einzuleiten, um die Verantwortlichen zur Rechenschaft zu ziehen. Die Zusammenarbeit mit Strafverfolgungsbehörden und Sicherheitsforschern kann helfen, die Täter zu identifizieren und weitere Angriffe zu verhindern. Zudem sollten betroffene Unternehmen ihre Kunden und Partner transparent über die Vorfälle informieren, um das Vertrauen in ihre Sicherheitsmaßnahmen zu wahren.
Zukunft der Open-Source-Sicherheit: Was ist zu erwarten?
Der Mastra-Angriff ist ein Weckruf für die gesamte Entwicklercommunity. Es ist zu erwarten, dass in Zukunft mehr Angriffe auf Open-Source-Ökosysteme stattfinden werden, da diese zunehmend zur Zielscheibe für finanziell motivierte Hacker werden. Die Komplexität und Vernetzung moderner Softwareprojekte macht es schwierig, alle Abhängigkeiten vollständig zu überwachen. Dennoch müssen Entwickler und Unternehmen proaktiv handeln, um ihre Systeme zu schützen.
Die Einführung von strengeren Sicherheitsstandards für Paketmanager und die Entwicklung von Tools zur automatisierten Überprüfung von Paketabhängigkeiten sind nur einige der Maßnahmen, die in Zukunft erwartet werden können. Zudem wird die Zusammenarbeit zwischen Sicherheitsforschern, Paketmanagern und Entwicklern immer wichtiger, um neue Angriffsmuster frühzeitig zu erkennen und abzuwehren. Die Entwicklung von KI-gestützten Tools zur Erkennung von bösartigem Code könnte ebenfalls eine wichtige Rolle spielen, um die Sicherheit von Open-Source-Software zu erhöhen.
Fazit: Wachsamkeit und proaktive Maßnahmen sind entscheidend
Der Angriff auf das Mastra-Paket-Ökosystem zeigt, wie schnell sich Lieferkettenangriffe auf Open-Source-Software ausbreiten können. Die gezielte Kompromittierung eines npm-Kontos und die anschließende Verbreitung von Schadcode über 140 Pakete unterstreichen die Notwendigkeit, Sicherheitsmaßnahmen in der Softwareentwicklung zu stärken. Entwickler und Unternehmen müssen ihre Abhängigkeiten kritisch prüfen, automatisierte Sicherheits-Scans in ihre Prozesse integrieren und ihre Mitarbeiter regelmäßig schulen.
Die Verbindung des Angriffs zu einer nordkoreanischen Hackergruppe unterstreicht zudem die globale Dimension der Bedrohung. Internationale Zusammenarbeit und die Entwicklung neuer Sicherheitsstandards sind notwendig, um solche Angriffe in Zukunft zu verhindern. Proaktive Maßnahmen und eine erhöhte Sensibilisierung für Sicherheitsrisiken sind der Schlüssel, um die Widerstandsfähigkeit von Open-Source-Ökosystemen zu stärken und die Sicherheit von Entwicklern und Unternehmen weltweit zu gewährleisten.
Mehr in Cybersicherheit & Datenschutz
Taiko-Bridge-Exploit: Warum Nutzer jetzt handeln müssen
Taiko warnt vor manipulierten Auszahlungen über seine Brücken – Nutzer sollen sofort ihre Gelder abziehen. Ein Fehler in der Zustandsprüfung ermöglichte Angreifern gefälschte Beweise und Diebstahl von
Secret Network Bridge-Exploit: Wie ein „unendlicher Druck“-Fehler 4,7 Millionen Dollar kostete
Ein Smart-Contract-Fehler im Secret Network ermöglichte das „unendliche Drucken“ nicht gedeckter Tokens im Wert von 4,7 Millionen Dollar. Der Angriff blieb eine Woche unbemerkt.
Neue Bedrohung durch AryStinger-Botnetz: Tausende D-Link-Router weltweit als Proxy missbraucht
Ein bisher unbekanntes Botnetz namens AryStinger hat über 4.000 veraltete D-Link-Router infiziert und zu Proxy-Servern für Cyberangriffe umfunktioniert. Betroffen sind vor allem Modelle in Südkorea, C