LONDON (IT BOLTWISE) – Ein kürzlich entdeckter Supply-Chain-Angriff hat das beliebte JavaScript-Paket ‘is’ ins Visier genommen und Sicherheitsbedenken in der Entwicklergemeinschaft ausgelöst. Nach einem Phishing-Angriff auf einen npm-Maintainer wurde das Paket mit einem plattformübergreifenden Malware-Loader infiziert, der sowohl Windows, macOS als auch Linux betrifft.

 Heutige Tagesdeals bei Amazon!  ˗ˋˏ$ˎˊ˗

Ein Supply-Chain-Angriff hat das weit verbreitete JavaScript-Paket ‘is’ getroffen, das wöchentlich etwa 2,7 Millionen Mal heruntergeladen wird. Der Angriff begann mit einer Phishing-Attacke auf einen npm-Maintainer, wodurch Angreifer Zugang zu den Versionen 3.3.1 und 5.0.0 des Pakets erhielten. Diese Versionen wurden mit einem Malware-Loader infiziert, der plattformübergreifend auf Windows, macOS und Linux operiert.

Der Maintainer Jordan Harband reagierte schnell, indem er die betroffenen Versionen als ‘deprecated’ markierte und die Version 3.3.0 als letzte sichere Version auswies. Auf der npm-Seite ist nun die bereinigte Version 3.3.2 verfügbar, die keinen Schadcode enthält. Diese Maßnahmen sollen verhindern, dass automatisierte Prozesse weiterhin die infizierten Versionen herunterladen.

Stellenangebote

Dozent Tourismusmanagement Technologien und KI (m/w/d)
IU Internationale Hochschule
Mainz
Consultant KI & Data Science
VISUS Advisory GmbH
Düsseldorf
Mitarbeiter (m/w/d) für KI-basierte Beschwerdebearbeitung sowie Informationssicherhe
Volksbank eG Überlingen
Überlingen
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
IU Internationale Hochschule
Köln
KI-Entwickler - Informatiker, Wirtschaftsinformatiker o. ä. (m/w/d) - KI-Integration Geschäftsprozesse
primaholding GmbH
Berlin
Alle KI-Jobs ansehen

Das Paket ‘is’ dient als Testing-Library, die Funktionen wie die Überprüfung, ob ein Wert definiert oder leer ist, bereitstellt. Der Angriff auf dieses Paket ist Teil einer größeren Kampagne, die bereits andere npm-Pakete wie eslint-config-prettier und got-fetch betroffen hat. Diese Angriffe zielten ursprünglich auf Windows-Systeme ab, doch der Malware-Loader im ‘is’-Paket ist plattformübergreifend aktiv.

Der Schadcode im Paket ‘is’ nutzt eine verschleierte JavaScript-Funktion, um eine Remote Shell aufzubauen. Diese Funktion sammelt Systeminformationen und überträgt sie über eine WebSocket-Verbindung an einen von Angreifern kontrollierten Server. Der empfangene Code wird direkt im Speicher des betroffenen Systems ausgeführt, was den Angreifern weitreichenden Zugriff ermöglicht.

Das Security-Team von Socket hat den Schadcode analysiert und kommentiert, um die Funktionsweise besser zu verstehen. Die Angreifergruppe hinter diesem Angriff hat bereits mehrere npm-Maintainer ins Visier genommen und es ist zu erwarten, dass sie ihre Aktivitäten weiter ausdehnen wird. Entwickler, die das Paket ‘is’ verwenden, sollten sicherstellen, dass keine der infizierten Versionen auf ihren Systemen installiert ist.

Dieser Vorfall unterstreicht die Notwendigkeit erhöhter Sicherheitsmaßnahmen in der Software-Supply-Chain. Entwickler und Unternehmen müssen wachsam bleiben und ihre Sicherheitsprotokolle regelmäßig überprüfen, um sich gegen solche Angriffe zu schützen. Die schnelle Reaktion von Jordan Harband und die Unterstützung durch die Sicherheitsgemeinschaft zeigen, wie wichtig eine koordinierte Antwort auf solche Bedrohungen ist.

*Amazon-Kreditkarte ohne Jahresgebühr mit 2.000 Euro Verfügungsrahmen bestellen! a‿z

🤖 Alle KI-Gadgets auf Amazon ansehen!


Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»
Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie
Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie
30,99 EUR Amazon Prime
Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»
Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder
Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder
169,99 EUR Amazon Prime
Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»
Plaud Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen
Plaud Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen
169,90 EUR Amazon Prime
Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»
KI-Sprachrekorder, Plaud NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau
KI-Sprachrekorder, Plaud NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau
169,90 EUR Amazon Prime
Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»
SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)
SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)

Hat Ihnen der Artikel bzw. die News - Supply-Chain-Angriff auf JavaScript-Paket: Sicherheitslücke bei is entdeckt - gefallen? Dann abonnieren Sie uns doch auf Insta: AI News, Tech Trends & Robotics - Instagram - Boltwise

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Supply-Chain-Angriff auf JavaScript-Paket: Sicherheitslücke bei is entdeckt
Supply-Chain-Angriff auf JavaScript-Paket: Sicherheitslücke bei is entdeckt (Foto: DALL-E, IT BOLTWISE)

Stellenangebote

(Junior) Consultant - Künstliche Intelligenz (m/w/d)

AWADO GmbH
Düsseldorf, Stuttgart

AI Product Manager (m/w/d)

XXXLdigital - Part of XXXL Group
Berlin

Lehrer IT-Programmierung (m/w/d) für Algorithmen, Webprogrammierung und KI

Farning GmbH
Hamburg

Projektmanager / Spezialist für künstliche Intelligenz (m/w/d)

Staatliche Lotterie- und Spielbankverwaltung
München

Software Architect AI (all genders)

adesso SE
Augsburg, Karlsruhe, Koblenz, München, Nürnberg, Saarbrücken, Stuttgart, Ulm, Walldorf

Projektmitarbeiter*in mit Fokus KI

Handwerkskammer Hamburg
Hamburg
Alle KI-Jobs ansehen
Folgen Sie aktuellen Beiträge über KI & Robotik auf Twitter, Telegram, Facebook oder LinkedIn!
Hinweis: Teile dieses Textes könnten mithilfe Künstlicher Intelligenz generiert worden sein. Die auf dieser Website bereitgestellten Informationen stellen keine Finanzberatung dar und sind nicht als solche gedacht. Die Informationen sind allgemeiner Natur und dienen nur zu Informationszwecken. Wenn Sie Finanzberatung für Ihre individuelle Situation benötigen, sollten Sie den Rat von einem qualifizierten Finanzberater einholen. IT BOLTWISE® schließt jegliche Regressansprüche aus.

Diesen Artikel kommentieren


Ähnliche Beiträge aus unserem „Boltwise®“-Archiv:
  1. Gefährliche npm-Pakete bedrohen Krypto-Wallets LONDON (IT BOLTWISE) – Sicherheitsforscher haben ein bösartiges npm-Paket entdeckt, das es auf Krypto-Wallets wie Atomic und Exodus abgesehen hat. Das Paket, das sich als legitime E-Mail-Bibliothek tarnt, wurde bereits 347 Mal heruntergeladen, bevor es...
  2. DHL Supply Chain stärkt Führungsteam mit neuen Ernennungen BONN / LONDON (IT BOLTWISE) – Die DHL Supply Chain, eine Tochter der DHL Group, hat im Zuge eines Führungswechsels mehrere Schlüsselpositionen neu besetzt. Andries Retief wurde zum globalen Chief Development Officer ernannt, um die...
  3. Malware in npm-Paketen nutzt Ethereum-Smart-Contracts zur Täuschung von Entwicklern LONDON (IT BOLTWISE) – Neue Bedrohungen für Krypto-Entwickler: Zwei bösartige npm-Pakete nutzen Ethereum-Smart-Contracts, um Malware zu verbreiten. Diese Pakete, die im Juli 2025 hochgeladen wurden, sind Teil einer ausgeklügelten Kampagne, die darauf abzielt, Entwickler zu...
  4. Gefährliche npm-Pakete zielen auf Ethereum-Entwickler HANOI / LONDON (IT BOLTWISE) – Eine neue Bedrohung für Ethereum-Entwickler ist aufgetaucht, da bösartige npm-Pakete entdeckt wurden, die darauf abzielen, Kryptowährungs-Wallet-Schlüssel zu stehlen. Diese Pakete tarnen sich als legitime Flashbots-Tools und nutzen die Vertrauenswürdigkeit...
  5. Bünting optimiert Lieferkettenmanagement mit KI LONDON (IT BOLTWISE) – Die Bünting-Gruppe hat ihr Supply-Chain-Management durch den Einsatz von Künstlicher Intelligenz modernisiert. Ein Pilotprojekt im Frischesegment zeigte beeindruckende Ergebnisse: Umsatzsteigerungen und eine signifikante Reduktion von Inventurabweichungen. Die Integration von KI in...
  6. DHL Group zeigt Stärke im Aktienmarkt trotz Umsatzrückgang FRANKFURT / LONDON (IT BOLTWISE) – Die DHL Group, ehemals Deutsche Post, zeigt sich am Aktienmarkt gestärkt, obwohl der Umsatz im letzten Quartal leicht zurückging. Die Aktie stieg um 1,5 Prozent auf 39,04 EUR, was...

Die nächste Stufe der Evolution: Wenn Mensch und Maschine eins werden | Wie Futurist, Tech-Visionär und Google-Chef-Ingenieur Ray Kurzweil die Zukunft der Künstlichen Intelligenz sieht
Die nächste Stufe der Evolution: Wenn Mensch und Maschine eins werden | Wie Futurist, Tech-Visionär und Google-Chef-Ingenieur Ray Kurzweil die Zukunft der Künstlichen Intelligenz sieht
  • Die nächste Stufe der Evolution
24,00 EUR
Bei Amazon ansehen
Künstliche Intelligenz: Dem Menschen überlegen – wie KI uns rettet und bedroht | Der Neurowissenschaftler, Psychiater und SPIEGEL-Bestsellerautor von »Digitale Demenz«
Künstliche Intelligenz: Dem Menschen überlegen – wie KI uns rettet und bedroht | Der Neurowissenschaftler, Psychiater und SPIEGEL-Bestsellerautor von »Digitale Demenz«
  • Künstliche Intelligenz: Dem Menschen überlegen – wie KI uns rettet und bedroht | Der Neurowissenschaftler, Psychiater und SPIEGEL-Bestsellerautor von »Digitale Demenz«
24,00 EUR Amazon Prime
Bei Amazon ansehen
KI Exzellenz: Erfolgsfaktoren im Management jenseits des Hypes. Zukunftstechnologien verstehen und künstliche Intelligenz erfolgreich in der Arbeitswelt nutzen. (Haufe Fachbuch)
KI Exzellenz: Erfolgsfaktoren im Management jenseits des Hypes. Zukunftstechnologien verstehen und künstliche Intelligenz erfolgreich in der Arbeitswelt nutzen. (Haufe Fachbuch)
  • Odoi, Tawia(Autor)
29,99 EUR Amazon Prime
Bei Amazon ansehen
Künstliche Intelligenz und Hirnforschung: Neuronale Netze, Deep Learning und die Zukunft der Kognition
Künstliche Intelligenz und Hirnforschung: Neuronale Netze, Deep Learning und die Zukunft der Kognition
  • Krauss, Patrick(Autor)
24,99 EUR Amazon Prime
Bei Amazon ansehen
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Da wir bei KI-erzeugten News und Inhalten selten auftretende KI-Halluzinationen nicht ausschließen können, bitten wir Sie bei Falschangaben und Fehlinformationen uns via eMail zu kontaktieren und zu informieren. Bitte vergessen Sie nicht in der eMail die Artikel-Headline zu nennen: "Supply-Chain-Angriff auf JavaScript-Paket: Sicherheitslücke bei is entdeckt".
Stichwörter JavaScript Malware Npm Phishing Remote Shell Sicherheit Supply-Chain
Alle Märkte in Echtzeit verfolgen - 30 Tage kostenlos testen!
Nächster Artikel

Gesetzliche Frist für Bleiaustausch im Trinkwasser: Vermieter unter Zugzwang

25. Juli 2025
Vorheriger Artikel

Deutsche Wirtschaft: Zögerlicher Aufschwung trotz Unsicherheiten

25. Juli 2025

Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Supply-Chain-Angriff auf JavaScript-Paket: Sicherheitslücke bei is entdeckt" für unsere Leser?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

  • Die aktuellen intelligenten Ringe, intelligenten Brillen, intelligenten Uhren oder KI-Smartphones auf Amazon entdecken! (Sponsored)

    • Es werden alle Kommentare moderiert!

    Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.

    Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.

    Du willst nichts verpassen?

    Du möchtest über ähnliche News und Beiträge wie "Supply-Chain-Angriff auf JavaScript-Paket: Sicherheitslücke bei is entdeckt" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
    Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Supply-Chain-Angriff auf JavaScript-Paket: Sicherheitslücke bei is entdeckt« bei Google Deutschland suchen, bei Bing oder Google News!

    462 Leser gerade online auf IT BOLTWISE®
    KI-Jobs