Hackers infizieren npm-Paket dbmux mit Malware und kompromittieren Entwickler-Systeme vollständig

Auf npm, einer der weltweit am weitesten verbreiteten Paketregister, wurde ein bösartiges Paket entdeckt, das sich gegen Softwareentwickler richtet.

Das Paket, benannt als dbmux, enthält versteckte Malware, die Angreifer Auf npm, einer der weltweit am weitesten verbreiteten Paketregister, wurde ein bösartiges Paket entdeckt, das sich gegen Softwareentwickler richtet.

Das Paket, benannt als dbmux, enthält versteckte Malware, die Angreifern vollständige Kontrolle über jedes System eines Entwicklers verschaffen kann, auf dem es installiert oder ausgeführt wurde. Der Vorfall wurde am 9. Juni 2026 offengelegt und, die die Bedrohung aktiv verfolgen, seither als kritisch eingestuft.

Das dbmux-Paket wirkte zunächst wie ein legitimes Hilfsprogramm, enthielt jedoch im Inneren Code, der darauf ausgelegt war, betroffenen Maschinen uneingeschränkten Zugriff an eine externe Stelle zu übergeben.

Entwickler, die das Paket im Rahmen ihres täglichen Arbeitsablaufs installierten, öffneten unbewusst die Tür zu einem potenziell schwerwiegenden Kompromittierung.

Der Angriff folgt einem bekannten Muster, das bei Vorfällen in der Software-Lieferkette beobachtet wird, bei denen böswillige Akteure schädlichen Code in Pakete einbetten, denen Entwickler vertrauen und die sie routinemäßig in ihre Projekte integrieren. SupplyChainAttack.org gab in einem Bericht, der an