TrapDoor Supply Chain Attack: Malware in npm, PyPI, CratesIO

Eine koordinierte Supply-Chain-Attacke namens TrapDoor verteilt Schadsoftware zum Stehlen von Anmeldedaten über npm, PyPI und CratesIO. Über 34 bösartig…

Das Ausmaß der TrapDoor-Kampagne

Die Kampagne mit dem Codenamen TrapDoor umfasst mehr als 34 schädliche Pakete in über 384 Versionen. Die früheste Aktivität wurde am 22. Mai 2026 um 20:20 UTC registriert. Neue Pakete wurden in Wellen aus einem Cluster von Konten veröffentlicht. Sie zielen auf alle drei großen Ökosysteme ab – das ist ungewöhnlich. Die meisten Angreifer konzentrieren sich auf ein einziges Repository.

Wie die Malware funktioniert

Die Pakete enthalten Code, der nach der Installation Umgebungsvariablen, SSH-Schlüssel und Browser-Credentials extrahiert. Die gestohlenen Daten werden an einen externen Server gesendet. Besonders perfide: Einige Pakete täuschen legitime Bibliotheken vor, etwa durch Typosquatting – ein häufiger Trick, der aber hier in großem Stil angewendet wird.

Warum Sie jetzt handeln sollten

Wenn Sie in den letzten Wochen Pakete aus diesen Quellen installiert haben, prüfen Sie Ihre Systeme. Die Angreifer haben offenbar Zugang zu Ihren Anmeldedaten. Ändern Sie sofort Passwörter und überprüfen Sie verdächtige Netzwerkverbindungen. Mehr zur npm-Sicherheit.

Was die Industrie falsch macht

Viele Entwickler vertrauen blind auf die Integrität von Paketregistern. Das ist ein Fehler. Weder npm noch PyPI haben ausreichende automatische Prüfungen gegen solche Angriffe. Die TrapDoor-Kampagne zeigt: Die Sicherheitslücke liegt im Vertrauen, nicht in der Technik.

Schutzmaßnahmen für Ihr Team

• Verwenden Sie nur signierte Pakete aus vertrauenswürdigen Quellen.
• Setzen Sie Dependency-Scanner ein, die verdächtige Muster erkennen.
• Überwachen Sie Ihre Build-Pipelines auf ungewöhnliche Netzwerkaktivität.

Weitere Informationen finden Sie auf npm und PyPI. Lesen Sie alle Artikel zu Supply-Chain-Angriffen.