Unbekannte veröffentlichten am 11. Juli 2026 fünf manipulierte Versionen des npm-Pakets Jscrambler mit einem in der Programmiersprache Rust geschriebenen Infostealer. Die Schadsoftware suchte gezielt nach Zugangsdaten von KI-Programmierwerkzeugen wie Claude Desktop und Cursor sowie nach Cloud-Zugängen und Kryptowährungs-Wallets. Der Sicherheitsdienstleister Socket entdeckte die erste betroffene Version nach eigenen Angaben binnen sechs Minuten.
Fünf Versionen verbreiten Schadsoftware binnen drei Stunden
Die Angreifer veröffentlichten die erste manipulierte Fassung 8.14.0 um 15:12 Uhr UTC über ein kompromittiertes npm-Publishing-Token. Bis 17:53 Uhr folgten vier weitere Versionen: 8.16.0, 8.17.0, 8.18.0 und 8.20.0. Dazwischen erschien mit 8.15.0 kurzzeitig eine unveränderte Fassung, was die automatische Erkennung erschwerte. Die frühen Versionen nutzten laut StepSecurity einen bislang undokumentierten Preinstall-Hook, der eine als JavaScript getarnte, 7,8 Megabyte große Binärdatei entpackte und startete. Ab Version 8.18.0 wechselten die Angreifer die Methode: Der Schadcode lief nun beim bloßen Einbinden des Pakets im Hauptmodul, nicht erst bei der Installation. Dadurch griff der verbreitete Schutzmechanismus —ignore-scripts nicht mehr, den viele Entwicklungsteams gegen bösartige Installationsskripte einsetzen. Die Nutzlast enthielt für Windows, macOS und Linux jeweils eigene, in Rust kompilierte Programme, auf Linux zusätzlich eine Funktion zum Nachladen von eBPF-Code im Kernel. Der technischen Analyse von Socket zufolge steckten die eigentlichen Programme in einem verschleierten Container mit eigenem, fünf Byte langem Signaturkopf; jede Plattform-Variante war einzeln mit dem Verschlüsselungsverfahren ChaCha20-Poly1305 gesichert. Erst wenige Tage zuvor, am 8. Juli 2026, hatte npm mit Version 12 Installationsskripte standardmäßig deaktiviert – ein Schutzmechanismus, den die zweite Angriffsvariante ab Version 8.18.0 gezielt umging.
Infostealer nimmt gezielt Zugangsdaten von KI-Tools ins Visier
Die Schadsoftware durchsuchte befallene Rechner nach Konfigurationsdateien von Claude Desktop, Cursor, Windsurf, VS Code, Zed und Factory. Sie griff darüber sowohl API-Schlüssel als auch Zugangsdaten für das Model Context Protocol ab. Wie The Hacker News berichtet, reihte sich dieses Ziel neben klassische Beute wie AWS-, Azure- und Google-Cloud-Zugangsdaten, Kubernetes-Endpunkte sowie die Passwort-Tresore von Bitwarden ein. Zusätzlich durchsuchte der Infostealer Browser-Erweiterungen für Kryptowährungs-Wallets wie MetaMask, Phantom und Exodus nach Seed-Phrasen und griff Sitzungsdaten von Discord, Slack, Telegram und Steam ab. Für den Zugriff auf gespeicherte Browser-Passwörter aus Chrome, Edge, Brave, Vivaldi, Opera und Firefox nutzte die Schadsoftware eine eingebettete SQLite-Engine. Für Wallet-Daten kam zusätzlich das Format LevelDB zum Einsatz, ergänzt um eine Wortliste nach dem BIP39-Standard zum Erkennen von Krypto-Seed-Phrasen. Für Windows und macOS richtete die Schadsoftware versteckte geplante Aufgaben beziehungsweise LaunchAgents ein, um nach einem Neustart aktiv zu bleiben. Die Kommunikation mit der Angreiferinfrastruktur lief verschlüsselt über feste IP-Adressen sowie über Tor-Knoten. Jscrambler zählte vor dem Vorfall rund 15800 wöchentliche Downloads; wie viele Installationen tatsächlich eine der fünf manipulierten Versionen erhielten, ist unabhängig nicht verifiziert.
Jscrambler widerruft Zugangsdaten und rät zum Update
Jscrambler bestätigte in einem Sicherheitshinweis die unautorisierte Veröffentlichung über ein kompromittiertes Publishing-Zugangstoken und betonte, der Zwischenfall betreffe ausschließlich dieses eine Paket. Das Unternehmen widerrief die betroffenen Zugangsdaten, entfernte die fünf manipulierten Versionen und härtete die eigene Veröffentlichungs-Pipeline nach. Als sichere Version nennt Jscrambler 8.22.0; frühere, unveränderte Stände wie 8.13.0 gelten ebenfalls als unbedenklich. Der Sicherheitsdienstleister Socket markierte die erste manipulierte Version sechs Minuten nach der Veröffentlichung automatisiert, zusätzliche technische Analysen stammen von StepSecurity und SafeDep. Nach Angaben von SafeDep habe npm zwischenzeitlich keine Downloads der manipulierten Versionen verzeichnet, eine serverseitige Bestätigung stehe noch aus. Sicherheitsteams, die das Paket eingebunden hatten, sollten nach der Analyse von StepSecurity und SafeDep folgende Schritte prüfen:
- Version auf 8.22.0 aktualisieren oder auf den zuletzt unveränderten Stand 8.13.0 zurücksetzen
- Betroffene Arbeitsplatzrechner und CI-Runner auf Verbindungen zu den IP-Adressen 37.27.122.124 und 57.128.246.79 sowie zu Tor-Diensten prüfen
- Zugangsdaten für Cloud-Konten, KI-Programmierwerkzeuge und Passwort-Tresore rotieren
- Kryptowährungen von möglicherweise betroffenen Geräten auf neu erstellte Wallets übertragen
Offen bleibt, wie die Angreifer an das npm-Publishing-Token von Jscrambler gelangten – das Unternehmen hat dazu bislang keine Untersuchungsergebnisse veröffentlicht. Der Vorfall zeigt zugleich, dass Entwicklungswerkzeuge mit KI-Anbindung inzwischen als eigene Angriffsfläche gelten: Zugangsdaten für das Model Context Protocol waren neben Cloud-Schlüsseln und Krypto-Wallets ausdrücklich Teil der Beuteliste.


