Sicherheit

Jscrambler-Paket schleust Infostealer in KI-Tools ein

3 Min. Lesezeit
Monitor mit npm-Terminal und roter Sicherheitswarnung neben verdächtigem Code – Symbolbild für einen Supply-Chain-Angriff. Generiertes Bild mit GPT Image 2
Monitor mit npm-Terminal und roter Sicherheitswarnung neben verdächtigem Code – Symbolbild für einen Supply-Chain-Angriff.

TL;DR Too Long; Didn’t read

Ein kompromittiertes Zugangstoken ermöglichte Angreifern, fünf bösartige Versionen des JavaScript-Pakets Jscrambler auf npm zu veröffentlichen. Der eingeschleuste Infostealer suchte auf befallenen Rechnern gezielt nach API-Schlüsseln von Claude Desktop, Cursor, Windsurf und weiteren KI-Programmierwerkzeugen. Sicherheitsforscher stoppten die Verbreitung laut eigenen Angaben innerhalb weniger Minuten; Jscrambler empfiehlt allen Nutzern ein Update auf Version 8.22.0.

Das Wichtigste in Kürze

  • Fünf manipulierte Jscrambler-Versionen erschienen am 11. Juli 2026 zwischen 15:12 und 17:53 Uhr UTC auf npm.
  • Der Infostealer zielte auf sechs KI-Entwicklertools: Claude Desktop, Cursor, Windsurf, VS Code, Zed und Factory.
  • Auf Linux-Systemen nutzte die Schadsoftware eBPF-Techniken und kommunizierte teils über Tor-Infrastruktur mit der Angreiferinfrastruktur.
  • Sicherheitsdienstleister Socket markierte die erste bösartige Version eigenen Angaben zufolge sechs Minuten nach Veröffentlichung.
  • Jscrambler bestätigte ein gestohlenes Publishing-Zugangstoken und nennt Version 8.22.0 als sichere Aktualisierung.
  • Das Paket verzeichnete vor dem Vorfall etwa 15800 wöchentliche Downloads über die npm-Registry.

Unbekannte veröffentlichten am 11. Juli 2026 fünf manipulierte Versionen des npm-Pakets Jscrambler mit einem in der Programmiersprache Rust geschriebenen Infostealer. Die Schadsoftware suchte gezielt nach Zugangsdaten von KI-Programmierwerkzeugen wie Claude Desktop und Cursor sowie nach Cloud-Zugängen und Kryptowährungs-Wallets. Der Sicherheitsdienstleister Socket entdeckte die erste betroffene Version nach eigenen Angaben binnen sechs Minuten.

Fünf Versionen verbreiten Schadsoftware binnen drei Stunden

Die Angreifer veröffentlichten die erste manipulierte Fassung 8.14.0 um 15:12 Uhr UTC über ein kompromittiertes npm-Publishing-Token. Bis 17:53 Uhr folgten vier weitere Versionen: 8.16.0, 8.17.0, 8.18.0 und 8.20.0. Dazwischen erschien mit 8.15.0 kurzzeitig eine unveränderte Fassung, was die automatische Erkennung erschwerte. Die frühen Versionen nutzten laut StepSecurity einen bislang undokumentierten Preinstall-Hook, der eine als JavaScript getarnte, 7,8 Megabyte große Binärdatei entpackte und startete. Ab Version 8.18.0 wechselten die Angreifer die Methode: Der Schadcode lief nun beim bloßen Einbinden des Pakets im Hauptmodul, nicht erst bei der Installation. Dadurch griff der verbreitete Schutzmechanismus —ignore-scripts nicht mehr, den viele Entwicklungsteams gegen bösartige Installationsskripte einsetzen. Die Nutzlast enthielt für Windows, macOS und Linux jeweils eigene, in Rust kompilierte Programme, auf Linux zusätzlich eine Funktion zum Nachladen von eBPF-Code im Kernel. Der technischen Analyse von Socket zufolge steckten die eigentlichen Programme in einem verschleierten Container mit eigenem, fünf Byte langem Signaturkopf; jede Plattform-Variante war einzeln mit dem Verschlüsselungsverfahren ChaCha20-Poly1305 gesichert. Erst wenige Tage zuvor, am 8. Juli 2026, hatte npm mit Version 12 Installationsskripte standardmäßig deaktiviert – ein Schutzmechanismus, den die zweite Angriffsvariante ab Version 8.18.0 gezielt umging.

Infostealer nimmt gezielt Zugangsdaten von KI-Tools ins Visier

Die Schadsoftware durchsuchte befallene Rechner nach Konfigurationsdateien von Claude Desktop, Cursor, Windsurf, VS Code, Zed und Factory. Sie griff darüber sowohl API-Schlüssel als auch Zugangsdaten für das Model Context Protocol ab. Wie The Hacker News berichtet, reihte sich dieses Ziel neben klassische Beute wie AWS-, Azure- und Google-Cloud-Zugangsdaten, Kubernetes-Endpunkte sowie die Passwort-Tresore von Bitwarden ein. Zusätzlich durchsuchte der Infostealer Browser-Erweiterungen für Kryptowährungs-Wallets wie MetaMask, Phantom und Exodus nach Seed-Phrasen und griff Sitzungsdaten von Discord, Slack, Telegram und Steam ab. Für den Zugriff auf gespeicherte Browser-Passwörter aus Chrome, Edge, Brave, Vivaldi, Opera und Firefox nutzte die Schadsoftware eine eingebettete SQLite-Engine. Für Wallet-Daten kam zusätzlich das Format LevelDB zum Einsatz, ergänzt um eine Wortliste nach dem BIP39-Standard zum Erkennen von Krypto-Seed-Phrasen. Für Windows und macOS richtete die Schadsoftware versteckte geplante Aufgaben beziehungsweise LaunchAgents ein, um nach einem Neustart aktiv zu bleiben. Die Kommunikation mit der Angreiferinfrastruktur lief verschlüsselt über feste IP-Adressen sowie über Tor-Knoten. Jscrambler zählte vor dem Vorfall rund 15800 wöchentliche Downloads; wie viele Installationen tatsächlich eine der fünf manipulierten Versionen erhielten, ist unabhängig nicht verifiziert.

Jscrambler widerruft Zugangsdaten und rät zum Update

Jscrambler bestätigte in einem Sicherheitshinweis die unautorisierte Veröffentlichung über ein kompromittiertes Publishing-Zugangstoken und betonte, der Zwischenfall betreffe ausschließlich dieses eine Paket. Das Unternehmen widerrief die betroffenen Zugangsdaten, entfernte die fünf manipulierten Versionen und härtete die eigene Veröffentlichungs-Pipeline nach. Als sichere Version nennt Jscrambler 8.22.0; frühere, unveränderte Stände wie 8.13.0 gelten ebenfalls als unbedenklich. Der Sicherheitsdienstleister Socket markierte die erste manipulierte Version sechs Minuten nach der Veröffentlichung automatisiert, zusätzliche technische Analysen stammen von StepSecurity und SafeDep. Nach Angaben von SafeDep habe npm zwischenzeitlich keine Downloads der manipulierten Versionen verzeichnet, eine serverseitige Bestätigung stehe noch aus. Sicherheitsteams, die das Paket eingebunden hatten, sollten nach der Analyse von StepSecurity und SafeDep folgende Schritte prüfen:

  • Version auf 8.22.0 aktualisieren oder auf den zuletzt unveränderten Stand 8.13.0 zurücksetzen
  • Betroffene Arbeitsplatzrechner und CI-Runner auf Verbindungen zu den IP-Adressen 37.27.122.124 und 57.128.246.79 sowie zu Tor-Diensten prüfen
  • Zugangsdaten für Cloud-Konten, KI-Programmierwerkzeuge und Passwort-Tresore rotieren
  • Kryptowährungen von möglicherweise betroffenen Geräten auf neu erstellte Wallets übertragen

Offen bleibt, wie die Angreifer an das npm-Publishing-Token von Jscrambler gelangten – das Unternehmen hat dazu bislang keine Untersuchungsergebnisse veröffentlicht. Der Vorfall zeigt zugleich, dass Entwicklungswerkzeuge mit KI-Anbindung inzwischen als eigene Angriffsfläche gelten: Zugangsdaten für das Model Context Protocol waren neben Cloud-Schlüsseln und Krypto-Wallets ausdrücklich Teil der Beuteliste.

Häufige Fragen

Welche Version von Jscrambler ist sicher?

Version 8.22.0 gilt als bereinigt, ebenso frühere, unveränderte Stände bis einschließlich 8.13.0. Die Versionen 8.14.0 bis 8.20.0 mit Ausnahme von 8.15.0 sind betroffen.

Waren nur Nutzer von KI-Programmierwerkzeugen betroffen?

Nein. Der Infostealer griff auch Cloud-Zugangsdaten, Krypto-Wallets, Passwort-Tresore und Zugangsdaten zu Messenger-Diensten wie Discord und Telegram ab.

Wie erkenne ich, ob mein System betroffen ist?

Prüfen Sie den Ordner node_modules/jscrambler/dist auf eine auffällige Datei intro.js sowie Netzwerkverbindungen zu den von Socket und StepSecurity veröffentlichten IP-Adressen und Tor-Domains.

Was sollten betroffene Entwicklerteams jetzt tun?

Neben dem Versionsupdate empfiehlt sich die Rotation aller über den Rechner erreichbaren Zugangsdaten sowie die Migration von Kryptowährungen auf neu erstellte Wallets.

Ist Jscrambler selbst weiterhin kompromittiert?

Laut eigener Aussage hat das Unternehmen die betroffenen Zugangsdaten widerrufen und die Veröffentlichungs-Pipeline gehärtet. Zur genauen Ursache des Zugriffs liegen bislang keine veröffentlichten Untersuchungsergebnisse vor.


← Zurück zum Blog