Hackern werden 22 npm-RAT-Varianten mit Geldbörse-Diebstahl und permanenter Hintertür zugeschrieben

Ein bösartiges npm-Paket namens forge-jsxy hat sich stillschweigend an der Diebstahl ährungs-Wallet-Schlüsseln, Browser-Anmeldeinformationen und sensiblen Entwicklerdaten auf Windows-, macOS- und Linux-Systeme Ein bösartiges npm-Paket namens forge-jsxy hat sich stillschweigend an der Diebstahl ährungs-Wallet-Schlüsseln, Browser-Anmeldeinformationen und sensiblen Entwicklerdaten auf Windows-, macOS- und Linux-Systemen beteiligt.

Am 4. Mai 2026 veröffentlicht, brachte es in 22 Versionen heraus und zählt damit zu den am aktivsten entwickelten Malware-Komponenten auf der Plattform. Die Geschichte beginnt jedoch noch vor dem Erscheinen änger, forge-jsx, wurde am 7. April 2026 veröffentlicht und blieb fast einen Monat unbemerkt, bevor npm ihn durch einen Sicherheits-Platzhalter ersetzte.

Innerhalb weniger Stunden nach dieser Entfernung erstellte der Angreifer ein neues Konto unter dem Namen jacksonkaandorp2 und startete forge-jsxy, das exakt dort ansetzte, wo die alte Paketversion 1.0.66 aufgehört hatte.

Analysten, deren Bedrohungsintelligenz-Pipeline bösartige Open-Source-Pakete in Echtzeit überwacht, identifizierten und dokumentierten den gesamten Umfang der Kampagne. SafeDep gab in einem Bericht, der mit