Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 25.06.2026 · 3 min Lesezeit

Malicious npm-Pakete tarnen sich als PostCSS-Tools und liefern Windows-RAT aus

JFrog Research hat drei bösartige npm-Pakete entdeckt (aes-decode-runner-pro, postcss-minify-selector, postcss-minify-selector-parser), die einen Windows-RAT installieren. Der Angriff nutzt Typosquatting auf postcss-selector-parser (127 Mio. Weekly Downloads).

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Malicious npm Pakete tarnen sich als PostCSS Tools und liefern Windows RAT über manipulierte JavaScript Pakete aus.

JFrog Research hat drei bösartige npm-Pakete entdeckt, die sich als legitime PostCSS-Build-Tools tarnen. Die Pakete installieren einen mehrstufigen Windows-RAT, der Chrome-Credentials stiehlt und Shell-Befehle ausführt. Die Pakete stammen alle vom npm-User abdrizak und wurden in den letzten Wochen veröffentlicht. Sie sind weiterhin auf npm verfügbar.

Meldung und Einordnung

Am 24. Juni 2026 veröffentlichte The Hacker News einen detaillierten Bericht über die bösartigen npm-Pakete, der auf Forschungen von JFrog basiert. Die Kampagne ist Teil eines wachsenden Trends von Supply-Chain-Angriffen auf die npm-Infrastruktur. Besonders tückisch: Die Pakete tarnen sich als kleine, harmlos wirkende Build-Tools, die wie legitime PostCSS-Plugins aussehen.

Die drei entdeckten Pakete im Überblick:

PaketDownloadsTarnung
aes-decode-runner-pro~145AES/Custom-Codec-Paket, abhängig von legitimen postcss-selector-parser
postcss-minify-selector~256PostCSS-Selector-Minifier
postcss-minify-selector-parser~615Typosquatting auf postcss-selector-parser (127 Mio. Weekly Downloads)

Alle drei Pakete liefern identische Malware.

Technische Details für Admins

Die Angriffskette ist mehrstufig und hochkomplex. Der initiale JavaScript-Dropper schreibt ein PowerShell-Skript settings.ps1, das ein ZIP-Archiv von nvidiadriver.net via curl.exe herunterlädt. Das ZIP-Archiv enthält eine update.vbs (VBS), eine Python-Runtime, loader.py und kompilierte Nuitka-.pyd-Module.

Die .pyd-Module (Python Native Extensions) sind das Herzstück des RAT:

ModulFunktion
config.pydKonstanten, Command-IDs, C2-URL, Registry-Keys
api.pydHTTP-C2-Paketaustausch
audiodriver.pydHaupt-RAT-Orchestrierungs-Loop
command.pydHost-Profiling, VM-Checks, File-Transfer, Shell-Execution
auto.pydChrome-Credential-Diebstahl, App-Bound-Encryption-Bypass
util.pydtar/gzip-Archiv-Helfer

Der RAT kommuniziert mit dem C2-Server unter 95.216.92.207:8080 und verfügt über folgende Fähigkeiten: Host-Informationen sammeln, Google-Chrome-Credentials stehlen (inklusive App-Bound-Encryption-Bypass), Daten aus Chrome-Extensions extrahieren, Shell-Befehle ausführen und Dateien hoch- und herunterladen.

Risiko für KMU und Betrieb

Der Angriff zielt primär auf Entwickler und DevOps-Teams ab, die npm-Pakete in ihren Build-Prozessen verwenden. Ein kompromittierter Entwickler-Rechner kann als Sprungbrett für weitere Angriffe dienen, insbesondere wenn dort Zugangsdaten zu GitHub, Cloud-Diensten oder internen Systemen gespeichert sind.

Für KMU ist das Risiko besonders hoch, da sie oft über weniger ausgefeilte Dependency-Management-Prozesse verfügen als große Unternehmen. Ein einzelner Entwickler, der ein Typosquatting-Paket installiert, kann die gesamte Organisation gefährden.

JFrog warnt: Kleine Parser-ähnliche Pakete können mehrstufige Windows-Payloads verstecken, während sie wie legitime Build-Tools mit massiver Nutzung wirken. Verteidiger müssen Lookalike-Build-Abhängigkeiten als potenzielle Liefervektoren behandeln – nicht nur als harmloses Naming-Noise.

Was Admins jetzt prüfen sollten

  1. Pakete sofort entfernen: Prüfen Sie Ihre package-lock.json oder yarn.lock auf die genannten Pakete. Entfernen Sie sie mit npm uninstall.
  2. Alle Artefakte löschen: Suchen Sie nach settings.ps1, update.vbs, loader.py und .pyd-Dateien auf Entwickler-Rechnern.
  3. Credentials rotieren: Rotieren Sie insbesondere Chrome-Login-Daten, GitHub-Tokens, SSH-Keys und npm-Tokens auf betroffenen Maschinen.
  4. Entwickler-Maschinen scannen: Führen Sie einen vollständigen Scan auf persistente Backdoors durch.
  5. Build-Dependencies prüfen: Behandeln Sie Lookalike-Pakete als potenzielle Liefervektoren. Implementieren Sie einen Dependency-Review-Prozess.
  6. npm-Audit aktivieren: Nutzen Sie npm audit und npm fund, um verdächtige Pakete zu identifizieren. Erwägen Sie den Einsatz von Tools wie Socket.dev oder Snyk.

Betriebscheck nach der Meldung

  1. Habe ich meine package-lock.json auf die genannten Pakete geprüft?
  2. Sind alle Entwickler-Rechner auf Anzeichen einer Infektion gescannt?
  3. Wurden Credentials auf betroffenen Maschinen rotiert?
  4. Habe ich einen Dependency-Review-Prozess implementiert?
  5. Nutze ich npm audit oder ähnliche Tools regelmäßig?

Admin-Einschätzung

Die Kampagne zeigt, wie raffiniert Supply-Chain-Angriffe auf die npm-Infrastruktur geworden sind. Die Verwendung von Nuitka-kompilierten .pyd-Modulen ist besonders tückisch, da diese für herkömmliche Sicherheitsscanner schwer zu analysieren sind. Der App-Bound-Encryption-Bypass für Chrome-Credentials zeigt zudem, dass die Angreifer tiefgehende Kenntnisse der aktuellen Windows-Sicherheitsarchitektur haben.

Für Admins bedeutet dies: Die Überprüfung von Dependencies muss ein fester Bestandteil des Entwicklungsprozesses werden. Automatisierte Tools können helfen, ersetzen aber keine manuelle Prüfung bei kritischen Abhängigkeiten.

Passende Anleitungen auf S-EDV

  1. Supply-Chain-Security: So schützen Sie Ihre Software-Lieferkette – Strategien für sichere Software-Lieferketten.
  2. GitHub Actions Sicherheit: Leitfaden für sichere CI/CD-Pipelines – Grundlagen für sichere Workflow-Konfigurationen.

Quellen

  1. The Hacker News: Malicious npm Packages Pose as PostCSS Tools to Deliver Windows RAT
  2. JFrog Research: Original Research Report
Verwandt

Weiter lesen

Alle Artikel →
IT-News-Grafik zu Cordyceps: kritische CI/CD-Sicherheitslücken gefährden über 300 GitHub-Repositories und zeigen Risiken in automatisierten Build-Pipelines.
25.06.2026 ·4 min

Cordyceps: Kritische CI/CD-Lücken gefährden 300+ GitHub-Repos

Novee Security hat die Cordyceps-CI/CD-Schwachstellen aufgedeckt, die über 300 GitHub-Repos von Microsoft, Google, Apache, Cloudflare und Python Software Foundation betreffen. Angreifer können von jedem kostenlosen GitHub-Account aus Supply-Chain-Angriffe starten.
BKA und ZIT isolieren bei Operation Endgame drei Malware-Varianten in einer Cybersecurity-Kontrollraum-Visualisierung.
25.06.2026 ·5 min

Operation Endgame: BKA und ZIT nehmen drei Malware-Varianten vom Netz

BKA und ZIT haben im Rahmen der Operation Endgame drei Malware-Varianten (SocGholish, StealC, Amadey) vom Netz genommen. Über 320 Server wurden beschlagnahmt, rund 27 Millionen Zugangsdaten sichergestellt. Die Aktion zielt auf die Anfangskette von Cyberangriffen.
WhatsApp VBScript Kampagne mit Fake Dokumenten, schädlicher VBS Datei und Remote Management Dashboard, das die Installation eines ManageEngine RMM Tools auf einem Windows System visualisiert.
25.06.2026 ·4 min

WhatsApp VBScript-Kampagne: Fake-Dokumente installieren ManageEngine RMM-Tool

Kaspersky hat eine aktive Kampagne entdeckt, die kompromittierte WhatsApp-Konten nutzt, um VBScript-Dateien zu verbreiten. Die Malware installiert das legitime RMM-Tool ManageEngine RMM Central auf den Systemen der Opfer.