Vidar-Malware erreicht Entwickler über npm-Registry
Automatisierte Infektion nach der Installation
17 verseuchte Software-Pakete haben den Vidar-Infostealer in Windows-Entwicklungsumgebungen eingeschleust. Es ist der erste dokumentierte Angriff dieser Schadsoftware über den JavaScript-Paketmanager npm.
Eine gezielte Attacke auf die Open-Source-Infrastruktur hat diese Woche für Aufsehen gesorgt: Cyberkriminelle nutzten die npm-Registry, um den gefährlichen Vidar-Infostealer zu verbreiten – eine Software, die normalerweise per Phishing-Mail verteilt wird. Doch was bedeutet dieser Strategiewechsel für die Millionen Entwickler weltweit, die täglich auf npm angewiesen sind?
Sicherheitsforscher von Datadog Security Research entdeckten die Kampagne und ordneten sie der Gruppe MUT-4831 zu. Die manipulierten Pakete wurden über 2.240 Mal heruntergeladen, bevor npm sie entfernte. Getarnt als legitime Software-Entwicklungskits und Bibliotheken – darunter gefälschte React-Tools und Telegram-Bot-Frameworks – überzeugten die Pakete ahnungslose Entwickler zur Installation.
Die Angreifer agierten zwischen dem 21. und 26. Oktober 2025 besonders dreist: Unter den mittlerweile gesperrten npm-Accounts „aartje” und „saliii229911″ veröffentlichten sie 23 verschiedene Versionen ihrer Schadpakete. Der Clou? Ein automatisch ausgeführtes postinstall-Skript, das sofort nach der Installation aktiv wurde.
Was dann geschah, folgte einem perfiden Schema: Das Skript lud ein passwortgeschütztes ZIP-Archiv von einem Command-and-Control-Server auf der Domain „bullethost[.]cloud” herunter. Mit fest eincodierten Zugangsdaten entpackte es anschließend die eigentliche Malware – eine in Go programmierte Datei namens „bridle.exe”, eine Variante des Vidar v2 Infostealers. Um Sicherheitssoftware zu umgehen, variierten die Angreifer ihre Methoden und versteckten teilweise PowerShell-Befehle direkt in der package.json.
Apropos kompromittierte Entwicklungsumgebungen – wer sich vor Supply‑Chain-Angriffen schützen möchte, sollte auch alternative Testumgebungen in Betracht ziehen. Ein kostenloses Linux-Startpaket erklärt Schritt für Schritt, wie Sie Ubuntu parallel zu Windows installieren und so Ihre Entwicklungs-Workflows isolieren können, um das Risiko durch Windows‑spezifische Schadsoftware zu senken. Jetzt kostenloses Linux-Startpaket anfordern
Systematischer Datendiebstahl mit Selbstzerstörung
Auf infizierten Windows-Systemen entfaltete Vidar seine ganze Durchschlagskraft. Die Malware sammelt Browser-Zugangsdaten, Session-Cookies, Kreditkarteninformationen, Kryptowährungs-Wallets und diverse Systemdateien. All diese Daten werden komprimiert und an die Angreifer übertragen.
Besonders raffiniert: Statt sich auf fest codierte Server-Adressen zu verlassen, fragt diese Vidar-Variante Wegwerf-Accounts auf Telegram und Steam ab, um die aktuelle C2-Adresse zu erhalten. Diese „Dead Drop Resolver”-Technik macht die Malware äußerst widerstandsfähig gegen Abschaltversuche. Nach erfolgreicher Datenübertragung löscht sich Vidar selbst vollständig vom System – forensische Analysen werden damit massiv erschwert.
Besorgniserregende Entwicklung in der Supply-Chain-Sicherheit
Dieser Vorfall reiht sich ein in eine Serie von Angriffen auf Open-Source-Repositories wie npm und PyPI. Die Rechnung der Kriminellen geht auf: Ein einziges kompromittiertes Paket kann Tausende Entwicklersysteme infizieren – und damit Zugang zu Unternehmensnetzwerken verschaffen.
Besonders alarmierend: Die Schadpakete blieben rund zwei Wochen unentdeckt im npm-Register. Das meistgeladene Paket react-icon-pkg verzeichnete allein 503 Downloads. Kann die Community solche Angriffe überhaupt noch zeitnah erkennen?
Dieser Vorfall folgt auf einen weiteren schwerwiegenden npm-Angriff im September 2025, bei dem eine Phishing-Kampagne gegen Paket-Maintainer zu Kompromittierungen von Bibliotheken mit Milliarden wöchentlicher Downloads führte. Die Angriffsmuster werden immer ausgefeilter.
Schutzmaßnahmen für Entwicklerteams
Das npm-Sicherheitsteam hat mittlerweile reagiert: Die verantwortlichen Accounts wurden gesperrt, alle verseuchten Pakete entfernt. Doch die Gefahr bleibt bestehen. Die Gruppe MUT-4831 hat gezielt Infrastruktur für diese Kampagne aufgebaut – ein Zeichen für gut ausgestattete und motivierte Angreifer.
Sicherheitsexperten empfehlen Entwicklern dringend, Abhängigkeiten kritisch zu prüfen und Changelogs zu kontrollieren. Achten Sie auf Typosquatting und Dependency-Confusion-Techniken. Organisationen sollten auf Analysetools setzen, die verdächtigen Code bereits vor der Installation erkennen. Eine wirksame Gegenmaßnahme: Das automatische Ausführen von Postinstall-Skripten deaktivieren.
Die Sicherheit der Software-Lieferkette hängt künftig von drei Säulen ab: besseren Plattform-Schutzmechanismen, organisatorischer Sorgfalt und der Wachsamkeit jedes einzelnen Entwicklers. Die Frage ist nicht mehr, ob weitere Angriffe folgen – sondern wann.
PS: Wenn Angreifer gezielt Windows‑Entwicklungsumgebungen ins Visier nehmen, kann ein sicherer Parallel-Betrieb mit Linux helfen, Risiken zu minimieren. Das kostenlose Linux-Startpaket enthält eine Ubuntu-Vollversion und leicht verständliche Anleitungen, mit denen Sie in wenigen Schritten eine isolierte Testumgebung einrichten. Jetzt Linux-Startpaket herunterladen
