Npm-Registry: Massenangriff auf 180 Software-Pakete
Großangriff auf npm-Register stiehlt Entwickler-Credentials und zeigt Verwundbarkeit der Software-Lieferkette. Studie belegt: 94 Prozent nutzen Passwörter mehrfach.
Eine groß angelegte Cyberattacke auf die Open-Source-Plattform npm hat diese Woche über 180 beliebte Software-Pakete kompromittiert. Die Angreifer stahlen dabei Entwickler-Zugangsdaten und sensible Cloud-Credentials für AWS und Google Cloud. Der unter dem Namen „Shai-Hulud“ bekannte Angriff zeigt erneut die Verwundbarkeit der Software-Lieferkette auf.
Die Attacke auf das npm-Register, das von Millionen Entwicklern weltweit genutzt wird, wurde am 16. September entdeckt. Die Angreifer injizierten Schadcode in Updates weit verbreiteter Pakete. Sobald Entwickler ein kompromittiertes Paket installierten, durchsuchte der Schadcode automatisch deren Systeme nach Zugangsdaten, SSH-Schlüsseln und sogar Kryptowährungs-Wallets.
Was die Sache besonders gefährlich macht: Mit den gestohlenen Credentials konnten die Angreifer weitere schädliche Pakete veröffentlichen – ein sich selbst verstärkender Angriffszyklus entstand.
Phishing-Welle trifft auch deutsche Unternehmen
Der npm-Angriff steht nicht allein da. Bereits am 8. September musste der Streaming-Anbieter Plex seine Nutzer zum Passwort-Reset auffordern, nachdem Angreifer Zugang zu einer Nutzerdatenbank mit E-Mail-Adressen und verschlüsselten Passwörtern erhalten hatten.
Besonders raffiniert war eine im August entdeckte Phishing-Kampagne gegen Google Workspace-Nutzer. Die Angreifer versendeten gefälschte E-Mails, die das Google AppSheet-System imitierten, um Login-Daten zu stehlen – eine Masche, die auch deutsche Unternehmen betrifft.
Gleichzeitig häufen sich kritische Sicherheitslücken in Unternehmens-Software. Palo Alto Networks meldete am 10. September eine Schwachstelle, die Service-Account-Passwörter im Klartext preisgeben könnte. Die US-Cybersicherheitsbehörde CISA warnte zudem vor einer kritischen Lücke in Daikin-Gateways, die unbefugten Zugang ermöglicht.
Anzeige: Phishing-Mails und gestohlene Zugangsdaten treffen längst auch das Smartphone – oft mit teuren Folgen. Viele Android-Nutzer übersehen fünf einfache Schutzmaßnahmen, die WhatsApp, Online-Banking und PayPal zuverlässig absichern. Ein kostenloser Ratgeber erklärt alles Schritt für Schritt, ohne Zusatz-Apps und ohne Fachchinesisch – inklusive Checklisten und praxiserprobten Einstellungen. Jetzt das kostenlose Android-Sicherheitspaket sichern
Das Passwort-Problem: 94 Prozent werden mehrfach genutzt
Der Kern des Problems liegt in der veralteten Passwort-Technologie. Eine aktuelle Studie zeigt: 94 Prozent der bei Datenlecks erbeuteten Passwörter werden für mehrere Accounts verwendet. Das macht Nutzer extrem anfällig für Credential-Stuffing-Angriffe, bei denen gestohlene Login-Daten systematisch auf anderen Diensten getestet werden.
Moderne Hacking-Tools knacken 96 Prozent gängiger Passwörter in unter einer Sekunde. Im Juni entdeckten Forscher ein massives Datenleck mit 16 Milliarden Login-Daten – frische, „gefährlich nutzbare“ Informationen, vermutlich von Infostealer-Malware gesammelt.
Der Verizon-Sicherheitsbericht 2025 bestätigt den Trend: Gestohlene Zugangsdaten sind bei 88 Prozent der Web-Anwendungsangriffe ein Schlüsselfaktor.
Passwort-freie Zukunft: Biometrie statt Buchstaben
Die Cybersicherheits-Branche reagiert mit einem Paradigmenwechsel. Statt anfälliger Passwörter setzen Experten auf biometrische Authentifizierung, Hardware-Sicherheitsschlüssel und Single-Sign-On-Systeme. Apple, Google und Microsoft unterstützen bereits passwort-freie Passkeys, die auf kryptographischen Verfahren basieren.
„Eine passwort-freie Strategie bietet die beste Lösung gegen Passwort-Müdigkeit“, erklärt Charlotte Wylie, Deputy CSO bei Okta. „Die Probleme traditioneller Passwörter – schlechte Sicherheit, verlorene Produktivität und höhere Kosten – verschwinden mit passwort-freien Lösungen.“
Trotz Herausforderungen bei Implementierungskosten und Legacy-System-Integration ist der Expertenkonses klar: Der Abschied vom traditionellen Passwort ist nicht mehr optional, sondern überlebensnotwendig.
KI verschärft die Bedrohung
Die Zukunft bringt neue Risiken: Cyberkriminelle nutzen zunehmend Künstliche Intelligenz, um überzeugendere Phishing-E-Mails und Schadcode zu generieren. Jüngste Angriffe auf die Hotelbranche zeigen diese Entwicklung bereits.
Während Angreifer ihre Methoden automatisieren und skalieren, führt kein Weg an passwort-freier Authentifizierung vorbei. Experten prognostizieren, dass diese Technologien bis Ende 2025 zum Standard werden.
Die Botschaft der jüngsten Cyberangriffe ist eindeutig: Die Ära der Passwörter ist vorbei. Unternehmen und Privatnutzer müssen jetzt auf stärkere Mehrfaktor- und passwort-freie Authentifizierung umsteigen – es ist der kritischste Schritt für eine sichere digitale Zukunft.
