175 bösartige npm‑Pakete dienen als globale Phishing‑Infrastruktur

Das Threat-Research-Team von Socket hat 175 bösartige npm‑Pakete entdeckt, die insgesamt mehr als 26.000 Mal heruntergeladen wurden und offenbar als Infrastruktur für eine weltweite Credential‑Phishing‑Kampagne dienen. Die Angriffe richteten sich gegen über 135 Unternehmen aus Industrie-, Technologie‑ und Energiesektor.

Die Pakete nutzten das öffentliche npm‑Register und das CDN von unpkg.com, um Umleitungs‑Skripte zu hosten, die Opfer auf Login‑Falleiten weiterleiten. Aufgrund gemeinsamer Artefakte in den Paketen bezeichnet Socket die Operation als „Beamglea“; Herkunft und Bedeutung dieser Kennung bleiben ungeklärt. Vor der Veröffentlichung war der Begriff online kaum nachweisbar, was ihn zu einem effektiven Marker für diese spezifische Kampagne macht.

Obwohl die Paketnamen zufällig gewählt sind und eine versehentliche Installation durch Entwickler unwahrscheinlich erscheinen lässt, dürften die Downloadzahlen teilweise auf Sicherheitsforscher, automatisierte Scanner und CDN‑Infrastrukturen zurückgehen, die die Pakete nach Bekanntwerden analysierten. Zum Zeitpunkt der Erstellung dieses Berichts sind die meisten mit der Kampagne verbundenen Pakete noch aktiv; Socket hat deren Entfernung und die Sperrung der Angreiferkonten im npm‑Register beantragt.

Die aktuelle Untersuchung baut auf ersten Hinweisen von Paul McCarty von Safety auf, der die Phishing‑Infrastruktur am 24. September 2025 erstmals identifizierte. Der KI‑Scanner von Socket markierte die Pakete und weitere Varianten unabhängig und weitete die Analyse aus, sodass die jetzige Infrastruktur mit 175 Paketen dokumentiert werden konnte.

Die Lieferkette als Phishing‑Infrastruktur

Die entdeckten npm‑Pakete führen beim Installieren über npm install keinen Schadcode aus. Stattdessen missbrauchen die Angreifer npm als kostenlose, weltweite Hosting‑Infrastruktur für ihre Phishing‑Operationen. Das CDN unpkg[.]com, ein legitimer und weit verbreiteter Dienst, liefert automatisch alle öffentlichen npm‑Pakete per HTTPS aus. Genau diese vertrauenswürdige Infrastruktur nutzen die Täter, um Phishing‑Komponenten zu hosten — ohne eigene Server oder SSL‑Zertifikate betreiben zu müssen.

Die Angriffskette läuft in mehreren Schritten ab:

• Veröffentlichung: Die Angreifer stellen Pakete mit zufällig generierten sechsstelligen Namen im Muster redirect-[a-z0-9]{6} im npm‑Register bereit.

• Automatisches CDN‑Hosting: unpkg.com liefert diese Pakete sofort über HTTPS‑CDN‑URLs, etwa https://unpkg[.]com/redirect-xs13nr@1.0.0/beamglea.js.

• Verteilung von Ködern: Die Täter können HTML‑Dateien mit Geschäftsthemen wie „Bestellungen“ oder „Projektdokumente“ an ausgewählte Opfer senden. Wie genau diese Köder verbreitet werden, bleibt unklar; die thematische Ausrichtung und individuelle Anpassung deuten allerdings auf E‑Mail‑Anhänge oder gezielte Phishing‑Links hin.

• Ausführung beim Opfer: Öffnet ein Opfer die HTML‑Datei, lädt diese JavaScript vom unpkg‑CDN.

• Datendiebstahl: Das geladene Skript leitet die Opfer auf Phishing‑Seiten weiter und sammelt dort Zugangsdaten.

Grafik Quelle: Socket

Damit wird das npm‑Ökosystem zur unfreiwilligen Infrastruktur für Phishing — nicht als direkter Angriffsvektor beim Paket‑Installieren, sondern als Hosting‑Plattform für manipulierte Inhalte. Entwickler, die solche Pakete installieren, bemerken in der Regel kein bösartiges Verhalten; Personen hingegen, die speziell gestaltete HTML‑Köder öffnen, laufen Gefahr, auf Phishing‑Seiten umgeleitet zu werden.

Automatisierte Paketerstellung

Die Angreifer setzten eigens entwickelte Python‑Tools ein, um die Kampagne vollständig zu automatisieren. In mehreren Paketen fanden sich redirect_generator.py‑Skripte sowie mit PyInstaller gebündelte ausführbare Dateien, die den gesamten Ablauf übernahmen.

Grafik Quelle: Socket

Die Automatisierung verlangte drei Eingaben — eine JavaScript‑Vorlage (beamglea_template.js), die E‑Mail‑Adresse des Opfers und die Phishing‑URL — und führte dann nacheinander folgende Schritte aus:

• Authentifizierung bei npm: Prüft, ob ein Login besteht; falls nicht, fordert das Tool die Anmeldedaten an.

• Vorlagenverarbeitung: Fügt die Ziel‑E‑Mail und die Phishing‑URL in die JavaScript‑Vorlage ein.

• Paketgenerierung: Erzeugt eine package.json mit einem zufällig gewählten Paketnamen.

• Veröffentlichung: Stellt das Paket automatisch als öffentliches npm‑Paket bereit.

• Ködererstellung: Generiert eine HTML‑Köderdatei, die auf das neu veröffentlichte Paket über das unpkg‑CDN verweist.

Dank dieser Automatisierung konnten die Täter 175 einzigartige Pakete für unterschiedliche Organisationen erstellen, ohne jeden Vorgang manuell ausführen zu müssen.

Grafik Quelle: Socket

Die JavaScript‑Nutzlast

In jedem Paket steckt ein einfaches Umleitungsskript mit dem Namen beamglea.js. Das Skript hängt die E‑Mail‑Adresse des Opfers als URL‑Fragment an — also an die Stelle nach dem # in einer URL. Solche Fragmente werden nicht in HTTP‑Anfragen an Webserver übertragen und tauchen folglich nicht in den üblichen Serverzugriffsprotokollen auf. Die Phishing‑Seite liest die E‑Mail aus dem JavaScript‑Kontext aus und füllt damit die Anmeldeformulare vor, wodurch eine täuschende Legitimität erzeugt wird.

HTML‑Phishing‑Köder

In den 175 Paketen identifizierten die Analysten mehr als 630 HTML‑Dateien, die als Geschäftsdokumente getarnt sind. Alle Köderdokumente liegen im output‑Ordner der Pakete und tragen im Meta‑Tag die Kampagnenkennung „nb830r6x“. Die Dateinamen imitieren legitime Geschäftspapiere, etwa:

• Bestellungen: PO3725.html, PODV250918.html, Purchase Order List 2025.html

• Technische Spezifikationen: Product drawing and specification for Heat Exchangers.html

• Projektdokumente: Dutch Dipping Hydrogen Project.html

Öffnet ein Opfer eine dieser HTML‑Dateien im Browser, lädt die Seite JavaScript vom unpkg‑CDN und leitet sofort auf die Phishing‑Domain weiter. Die E‑Mail‑Adresse wird dabei per URL‑Fragment übertragen und von der Phishing‑Seite verwendet, um das E‑Mail‑Feld vorab zu befüllen. Dieses vorgefüllte Anmeldeformular verringert das Misstrauen des Nutzers und erhöht dadurch die Erfolgswahrscheinlichkeit der Angriffe.

Die Angreifer registrierten sieben Phishing-Domains, darunter cfn.jackpotmastersdanske.com und musicboxcr.com, wobei einige Base64-kodierte URL-Parameter verwendeten, um Kampagnenvarianten und Sitzungskennungen anzugeben.

Zielbranchen und betroffene Organisationen

Die Kampagne traf mehr als 135 E‑Mail‑Adressen in über 100 Organisationen. Schwerpunktmäßig richtete sie sich auf folgende Sektoren:

• Industrielle Fertigung (35 %): Betroffene Firmen umfassen Algodue (Industrieausrüstung), Piusi (Flüssigkeitshandhabung), Stratasys (3D‑Druck), ArcelorMittal (Stahl/Bergbau) und Demag Cranes (Materialtransport).

• Technologie/Elektronik (20 %): Zu den genannten Zielen zählen Moxa (industrielle Netzwerke), D‑Link (Netzwerkausrüstung) und Renishaw (Präzisionsmessung).

• Energie/Chemie (15 %): Erwähnte Unternehmen sind Sasol (Chemie/Energie), ThyssenKrupp Nucera (Wasserstofftechnologie) und H2 Systems (Wasserstofflösungen).

Am häufigsten tauchte die Adresse sraka@hust[.]hr auf — sie erschien in 19 separaten Paketen, was auf besonders gezielte Angriffe gegen dieses kroatische Industrieunternehmen oder auf eine andauernde Kampagnenfokussierung hindeuten könnte.

Geografisch konzentrierten sich die Angriffe vor allem auf Westeuropa (Deutschland, Niederlande, Belgien, Italien), gefolgt von den nordischen Ländern und dem asiatisch‑pazifischen Raum. Auffällig war das Fehlen von Zielen in den USA.

Umfang und Wirkung der Kampagne

Wesentliche Infrastrukturkennzahlen der Operation:

• 175 veröffentlichte npm‑Pakete

• 9 npm‑Autorenkonten

• Über 630 HTML‑Phishing‑Köder

• 7 Command‑und‑Control‑Domänen

• Mehr als 135 betroffene Organisationen

• Kampagnenkennung: nb830r6x

Hinweise auf operative Sicherheit und Professionalität der Angreifer:

• Einsatz automatisierter Tools zur Massenerstellung von Paketen

• Mit PyInstaller kompilierte, leicht nutzbare ausführbare Dateien

• Eine Anleitung (cdn_setup_guide.txt) zum Aufbau einer eigenen CDN‑Infrastruktur, die die Abhängigkeit von unpkg.com verringert

• Registrierung mehrerer Domains zur Sicherstellung von Redundanz

• Zufällig generierte Paketnamen zur Umgehung von Erkennungsmechanismen

Das Vorhandensein des cdn_setup_guide.txt in mehreren Paketen weist auf eine langfristige Planung hin: der Leitfaden beschreibt, wie über VPS und Nginx eine unabhängige Hosting‑Infrastruktur aufgebaut werden kann.