Typosquatting bei npm-Paketen: Angreifer stehlen Cloud- und CI/CD-Schlüssel

Eine neue Welle bösartiger Softwarepakete wurde dabei erwischt, wie sie Cloud-Zugangsdaten und Geheimnisse aus CI/CD-Pipelines neue Alarmglocken für die Sicherheit der Open-Sour Eine neue Welle bösartiger Softwarepakete wurde dabei erwischt, wie sie Cloud-Zugangsdaten und Geheimnisse aus CI/CD-Pipelines neue Alarmglocken für die Sicherheit der Open-Source-Software-Lieferkette läutet.

Der Angriff, der am 28. Mai 2026 aufgedeckt wurde, zeigt, wie einfach es für Angreifer geworden ist, gefährlichen Code durch einen einfachen Namens-Trick in die Hände unbeteiligter Entwickler zu schleusen, der menschliche Fehler gezielt und in großem Umfang sowie mit überraschender Geschwindigkeit ausnutzt.

Die Kampagne basiert auf einer Technik namens Typosquatting, bei der Angreifer Pakete mit Namen veröffentlichen, die denen beliebter und vertrauenswürdiger Bibliotheken fast identisch sind.

In diesem Fall wurden innerhalb eines vierstündigen Zeitraums 14 bösartige Pakete in das npm-Registry hochgeladen, die alle weit verbreitete Tools im Zusammenhang mit OpenSearch, ElasticSearch, DevOps und Umgebungs-Konfigurationsbibliotheken nachahmen.

Nach der Installation beginnen diese Pakete sofort, sensible Zugangsdaten zu sammeln und an übermitteln, ohne dass ein Kompromittierungsvorfall sichtbar wird.

Microsoft-Analysten identifizierten die Kampagne und stellten fest, dass alle 14 Pakete öffentlicht wurden, der sich unter dem Maintainer-Alias vpmdhaj bewegt und mit der E-Mail-Adresse a39155771@gmail[.]com registriert ist. Microsoft teilte in einem Bericht mit