Ein großer Angriff auf die Lieferkette für Softwarepakete für die weit verbreitete Javascript-Laufzeitumgebung node.js ist am Montag entdeckt worden. Der Angreifer hat über den Paketmanager npm (vormals Node Package Manager) verschleierten Schadcode in zahlreiche populäre Pakete eingeschleust. Es dürfte sich um den bislang größten erfolgreichen Angriff auf npm handeln.

Bekannt sind rund 20 betroffene Pakete aus dem Repertoire des Entwicklers qix, die in Summe mehr als zwei Milliarden mal pro Woche (!) heruntergeladen werden. Schon allein dadurch wirkt der Angriff auf weite Teile des node.js-Universums. Zudem gibt es einen unbestätigten Hinweis darauf, dass auch Pakete anderer Entwickler mit Malware verunreinigt worden sein könnten.

Die bislang entdeckte und untersuchte Malware manipuliert laut JD Staerk bestimmte Browser-Routinen, um Daten im Webbrowser des Opfers abzufangen und zu manipulieren. Das trifft sowohl klassischen Netzwerk-Verkehr als auch solchen von und zu Programmierschnittstellen (API). Zusätzlich werden Routinen in gegebenenfalls installierten Browsererweiterungen für Kryptowährungsportemonnaies (Wallets) verändert.

Kryptodiebstahl

Ziel des Angreifers ist offenbar der Diebstahl von Einheiten der Kryptowährungen Bitcoin (BTC), Bitcoin Cash (BCH), Ethereum (ETH), Litecoin (LTC), Solana (SOL) und Tron (TRX). Die Schadsoftware wartet auf Zeichenketten, die wie Wallet-Adressen aussehen, und ersetzt die legitimen Adressen durch andere Adressen, die mutmaßlich vom Angreifer kontrolliert werden.

Beauftragt das Opfer eine Überweisung über eine normale Webpage im Browser, ersetzt die Schadsoftware die Zieladresse durch eine falsche – aber nicht irgendeine, sondern eine, deren Zeichenkette optisch sehr ähnlich aussieht. Dazu bedient sich der Angreifer eines Algorithmus‘, der auf möglichst geringe Levenshtein-Distanz setzt. Das macht es menschlichen Augen schwer, die Unterschiede in der Zieladresse zu erkennen.

Nutzt das Opfer eine Wallet-Browsererweiterung, fängt der Schadcode die Überweisung vor der Signierung ab und ersetzt im Arbeitsspeicher die Adresse des Überweisungsempfängers. Die verfälschte Transaktion wird dann zwecks Genehmigung an das Wallet weitergereicht. Schaut der Nutzer nicht ganz genau hin, signiert er die betrügerische Überweisung.

Spearphishing

Der Entwickler qix (Josh Junon) hat den Vorfall bestätigt und sich sogleich an die Aufräumarbeiten gemacht. Am frühen Montagmorgen hatte er eine Aufforderung von support@npmjs.help erhalten, seine Einstellungen für die Zwei-Faktor-Authentifizierung zu erneuern, weil sie schon zwölf Monate unverändert seien. Leider gibt es immer noch Online-Dienste, die periodische Passwortänderungen oder ähnliche Maßnahmen vorschreiben, obwohl das geltenden Sicherheitsrichtlinien wie der NIST SP 800-63B (Abschnitt 3.1.1.2) zuwiderläuft. Änderungen von Zugangsdaten sollen nur dann erzwungen werden, wenn es Grund zur Annahme gibt, dass die bisher genutzten Daten kompromittiert worden oder sie sonst unsicher sind, etwa weil Passwörter zu kurz sind.

Der Angreifer verband den „schockierend echt“ wirkenden Auftrag mit der Drohung, das npm-Konto werde sonst am Mittwoch stillgelegt. Junon gehorchte und die Falle schnappte zu. „Ich hätte besser aufpassen sollen, aber es ist mir durchgerutscht. Es tut mir wirklich leid, das ist peinlich“, verheimlicht der Entwickler das Malheur nicht.

Bekannte betroffene Pakete

Laut IT-Sicherheitsfirma Aikido sind jedenfalls diese Pakete betroffen:

• ansi-regex
• ansi-styles
• backslash
• chalk
• chalk-template
• color-convert
• color-name
• color-string
• debug
• error-ex
• has-ansi
• is-arrayish
• simple-swizzle
• slice-ansi
• strip-ansi
• supports-color
• supports-hyperlinks
• wrap-ansi

Socket.dev hat zusätzlich das Paket proto-tinker-wc ausgemacht. Mehrere der Pakete verwaltet qix gemeinsam mit Sindre Sorhus, dem npm-Entwickler mit der größten Downloadzahl. Der Angreifer hat den verfälschten Paketen neueste Versionsnummern zugeteilt, um deren Verbreitung zu beschleunigen. Der Code wurde verschleiert, zudem sind laut Aikido unsichtbare Zeichen und Code in unterschiedlichen Laufrichtungen (von links nach rechts sowie von rechts nach links) enthalten, um die Analyse zu erschweren. Die bekannten Malware-Pakete sind inzwischen aus dem npm-Bestand entfernt worden. Es kann derzeit aber nicht ausgeschlossen werden, dass auch ältere Versionen infiziert worden sind, oder dass weitere Entwicklerkonten auf npm betroffen sind. Und natürlich dürften zahlreiche Systeme die infizierten Pakete bereits heruntergeladen und installiert haben.

(ds)

Mit wenigen Klicks sollte jedermann in die Lage versetzt werden, leicht Ende-zu-Ende-verschlüsselte E-Mails versenden zu können – die Idee hinter der Volksverschlüsselung war es, Verschlüsselung einem breiten Publikum zugänglich zu machen. Nun wird die kostenlose Volksverschlüsselung-Software nach jahrelangem Betrieb zum 31. Januar 2026 eingestellt. Das gab das Fraunhofer Institut für Sichere Informationstechnologie (Fraunhofer SIT) bekannt.

„Um unsere Ressourcen für neu zu entwickelnde zukunftsorientierte Sicherheitslösungen einsetzen zu können, haben wir uns entschieden, den Volksverschlüsselungsdienst nicht weiterzuführen“, heißt es in einer kurzen Erklärung. Der Blick zurück aber fällt positiv aus. Gemeinsam mit seinen Partnern, darunter die Deutsche Telekom, habe man dazu beitragen können, IT-Sicherheit in Deutschland einfacher und alltagstauglicher zu machen, heißt es. Hinter der Open-Source-Anwendung Volksverschlüsselung verbirgt sich eine Infrastruktur, mit der Schlüssel erzeugt, zertifiziert und verteilt werden, damit Anwender eine Ende-zu-Ende-Verschlüsselung beim E-Mail-Versand nutzen können. E-Mails signieren und verschlüsseln sollte so für jede und jeden leicht handhabbar sein.

Für die aktuellen Nutzerinnen und Nutzer ändert sich trotz der Ankündigung zunächst wenig. Der Zugriff auf bestehende Installationen und Zertifikate bleibt bestehen. Ab dem 31. Januar kommenden Jahres aber ist die Registrierung neuer Nutzerinnen und Nutzer nicht mehr möglich. Auch werden ab diesem Zeitpunkt keine Updates oder Support-Leistungen mehr bereitgestellt. Diverse Dienste, wie der Verzeichnis- und Sperrdienst, werden dann eingestellt.

(akn)

Am Freitag hat die EU-Kommission verkündet, dass Google seine Marktmacht in der Online-Werbung missbraucht hat. Dafür muss der Tech-Konzern 2,95 Milliarden Euro Strafe zahlen. Google muss zudem innerhalb von 60 Tagen Abhilfemaßnahmen vorlegen, die seine Interessenkonflikte in der Online-Werbung beenden.

Diese Entscheidung vertagt leider die nötigen Maßnahmen, um die Monopolmacht von Google zu brechen. Sie lässt zugleich die Tür zu einer Aufspaltung weiter offen. Die Debatte wird sich zuspitzen – umso wichtiger ist es, den Druck auf die EU-Kommission aufrechtzuerhalten. Denn nur eine Aufspaltung von Google löst die Probleme dauerhaft.

Google nutzt seine Macht zulasten der Medien

Der Kern des Problems ist Googles Dominanz bei der Vermarktung von Anzeigeflächen. Ruft man eine Webseite auf, laufen im Hintergrund in Sekundenbruchteilen Auktionen ab. Ihr Ausgang entscheidet, welche Anzeigen wir auf dieser Seite angezeigt bekommen. Google dominiert beide Seiten dieses Auktionsprozesses: Es betreibt den größten Server, über den die Verleger ihre Anzeigenflächen anbieten. Es ist zugleich bei den Diensten marktbeherrschend, mit denen Werbetreibende ihre Online-Anzeigenkampagnen steuern. Google betreibt zudem mit AdX den größten Auktionsserver auf dem Markt. Google hat diese Marktmacht jahrelang missbraucht und damit Medien, Anzeigenkunden und Wettbewerber geschädigt.

Das sieht auch die EU-Kommission in ihrer Entscheidung so. Google habe den eigenen Auktionsserver AdX bevorzugt, damit seine Stellung gestärkt und hohe Gebühren verlangen können. Diese Bewertung ist ein wichtiger Schritt, um die Monopolmacht des Tech-Konzerns zu begrenzen. Googles Fehlverhalten ist gut belegt und auch in den USA durch ein Gericht bestätigt. Das ist nicht nur ein wirtschaftliches Problem, denn Googles Monopolstellung reduziert die Anzeigenerlöse der Medien und schwächt damit den Journalismus und letztlich die Demokratie.

Geldstrafen wirken nicht – nur Aufspaltung hilft

Die EU verhängt deshalb eine Milliardenstrafe. Sie legt sich aber nicht fest, wie der Machtmissbrauch und die Interessenkonflikte dauerhaft beendet werden sollen. Diese Entscheidung reicht nicht aus und kann nur der erste Schritt sein. Auch wenn Trump sich aufregt und mit Gegenmaßnahmen droht: Geldstrafen bewirken angesichts der gewaltigen Monopolgewinne von Google wenig. Im ersten Quartal 2025 steigerte Googles Mutterkonzern Alphabet seinen Umsatz auf 90,23 Milliarden US-Dollar, der Gewinn lag allein in diesen drei Monaten bei 34,54 Milliarden Dollar.

Verhaltensauflagen für den Konzern wären nur schwer kontrollierbar, Google könnte sie immer wieder durch neue unfaire Praktiken umgehen. Die EU-Kommission muss deshalb eine Aufspaltung weiter verfolgen, statt sich auf Googles Vorschläge und Wohlverhalten zu verlassen. Die EU-Kommission hatte in ihrer vorläufigen Analyse des Falls im Juni 2023 selbst gesehen, dass nur ein Verkauf von Teilen des Werbegeschäfts die Interessenkonflikte Googles beenden kann. Darauf verweist die Kommission auch in ihrer jetzigen Pressemitteilung. Das ist ein Lichtblick.

Die Machtstellung Googles auf mehreren Marktseiten führt unweigerlich zu Interessenskonflikten und öffnet dem Machtmissbrauch Tür und Tor. Nur durch eine Aufspaltung lässt sich dauerhaft sicherstellen, dass Google seine eigenen Werbedienste nicht bevorzugt und andere Marktteilnehmer nicht behindert. Die EU-Kommission muss den politischen Mut dafür aufbringen, um die Demokratie und die digitale Souveränität der EU zu schützen. Wir brauchen eine Wettbewerbspolitik, die die übermäßige Machtkonzentration in der digitalen Wirtschaft endlich auf struktureller Ebene angeht.

Ulrich Müller ist Mitgründer und Vorstand von Rebalance Now. Die Organisation tritt dafür ein, die Monopolisierung der Wirtschaft zurückzudrängen und die Macht großer Unternehmen zu beschränken. Das Ziel ist eine vielfältige und ausgewogene Wirtschaft.