Lieferketten-Attacke, Nordkorea

Lieferketten-Attacke: Nordkorea kompromittiert 140 npm-Pakete

20.06.2026 - 20:54:54 | boerse-global.de

Microsoft deckt großangelegten Lieferkettenangriff auf. Die Gruppe Sapphire Sleet kompromittiert zahlreiche npm-Pakete und zielt auf Krypto-Wallets ab.

Nordkoreanische Hacker attackieren Mastra-KI-Plattform mit 140 Schadpaketen
Lieferketten-Attacke - Digital representation of a complex supply chain network with glowing lines of code and data packets, symbolizing a cyber attack. 20.06.2026 - Bild: über boerse-global.de

Dahinter steckt die nordkoreanische Gruppe Sapphire Sleet, auch bekannt als BlueNoroff.

Angriff auf die Open-Source-Infrastruktur

Die Hacker übernahmen die Kontrolle über ein Maintainer-Konto mit dem Namen „ehindero". Von dort aus schleusten sie eine bösartige Abhängigkeit namens „easy-day-js" ein – ein sogenannter Typosquat der weit verbreiteten Bibliothek „dayjs". Insgesamt wurden mehr als 140 npm-Pakete kompromittiert.

Anzeige: Wer die Lieferkette gegen staatliche Angreifer wie Sapphire Sleet absichern will, findet in diesem kostenlosen Report die wichtigsten Schutzmaßnahmen – von Typosquat-Erkennung bis zur Härtung von CI/CD-Pipelines. Jetzt kostenlosen Sicherheits-Report anfordern

Das Vertrauen in Open-Source-Ökosysteme wurde dabei gezielt ausgenutzt. Die Angreifer verwandelten die Pakete in Vehikel für Schadsoftware, die auf Zugangsdaten, API-Schlüssel und Authentifizierungstoken abzielt. Branchenbeobachter warnen: KI-bezogene Software-Lieferketten werden zunehmend zum Ziel solcher Operationen.

Technische Details und Persistenzmechanismen

Die Malware durchsuchte infizierte Systeme gezielt nach 166 verschiedenen Wallet-Erweiterungen. Zu den identifizierten Zielen gehören MetaMask, Phantom, Coinbase Wallet, Binance Wallet und TronLink.

Um dauerhaften Zugriff zu sichern, setzte Sapphire Sleet betriebssystemspezifische Techniken ein:

  • Windows: Registry-Run-Keys, SYSTEM-Privileg-Dienste und Microsoft-Defender-Ausnahmen
  • macOS: LaunchAgents
  • Linux: systemd-Dienste

Microsoft beobachtete zudem Folgeaktivitäten mit einer PowerShell-Hintertür, die bereits früher mit Sapphire Sleet in Verbindung stand. Die Gruppe war bereits im April 2026 an einem ähnlichen npm-Angriff auf die Bibliothek Axios beteiligt.

Nordkoreas wachsende Cyber-Bedrohung

Anzeige: Nordkoreanische Hacker haben 140 npm-Pakete kompromittiert – Ihr Unternehmen könnte das nächste Ziel sein. Dieser Report zeigt, wie Sie mit einem Frühwarnsystem und konkreten Prüfschritten Ihre Open-Source-Abhängigkeiten schützen. Lieferketten-Schutz jetzt sichern

Die Enthüllung kommt zu einem Zeitpunkt erhöhter nordkoreanischer Cyberaktivitäten. Beim G7-Gipfel in Évian-les-Bains im Juni 2026 erneuerten internationale Staats- und Regierungschefs ihre Forderungen nach gemeinsamen Maßnahmen gegen die staatlich gestützten Kryptowährungsdiebstähle.

Die Dimension dieser Operationen wächst rasant. Laut Branchenforschern erbeuteten nordkoreanische Hacker allein 2025 mindestens zwei Milliarden Euro in Kryptowährungen. Der Gesamtwert gestohlener Vermögenswerte wird auf rund 6,75 Milliarden Euro geschätzt. Zu den jüngsten spektakulären Angriffen zählen ein Diebstahl von 285 Millionen Euro beim Drift Protocol im April sowie ein 36-Millionen-Euro-Coup gegen das Humanity Protocol Anfang Juni.

Sicherheitsanalysten stufen nordkoreanische Akteure als das größte globale Risiko für Kryptowährungsnutzer ein – gemessen am Gesamtwert gestohlener Gelder. Der Mastra-Zwischenfall zeigt einmal mehr: Entwickler und die Open-Source-Lieferkette bleiben verwundbar gegenüber staatlich gesteuerten Angreifern, die auf finanziellen Gewinn aus sind.

de | wissenschaft | 69592758 |