SecBoard
HochBranchenlageScore: 30/100

Nordkoreanische Akteure hinter Mastra-NPM-Supply-Chain-Angriff — Entwicklertools als Malware-Kanal

28. Juni 2026
Nordkoreanische Akteure hinter Mastra-NPM-Supply-Chain-Angriff — Entwicklertools als Malware-Kanal

Kurzfazit

Microsoft führt einen Supply-Chain-Angriff auf das Mastra-AI-Ökosystem auf die nordkoreanische Gruppe Sapphire Sleet (BlueNoroff) zurück: Eine bösartige Abhängigkeit in über 140 npm-Paketen lädt eine Payload nach, die Kryptowährungs-Erweiterungen ins Visier nimmt. Der Vorfall reiht sich in eine Welle nordkoreanischer Kampagnen ein, die gezielt Entwicklerwerkzeuge missbrauchen.

Was ist passiert?

Microsoft hat einen auf das Mastra-AI-Ökosystem der nordkoreanischen Hackergruppe Sapphire Sleet (auch bekannt als BlueNoroff) zugeschrieben. Laut den Quellen fügten die Angreifer eine bösartige Abhängigkeit zu über 140 npm-Paketen hinzu, die eine Payload nachlädt, welche gezielt Kryptowährungs-Erweiterungen angreift. Der Vorfall steht im Kontext weiterer nordkoreanischer Aktivitäten: ScarCruft (APT37) nutzte gefälschte Microsoft-Sicherheitswarnungen per Spear-Phishing zur Verteilung von NarwhalRAT, und Forscher beobachten generell, wie nordkoreanische Cluster (u. a. Contagious Interview / Famous Chollima) Entwicklerwerkzeuge als Malware-Verteilkanal missbrauchen.

Warum ist das relevant?

Supply-Chain-Angriffe über npm treffen Entwickler und nachgelagert deren Produkte und Nutzer — eine einzige bösartige Abhängigkeit kann sich über viele Projekte verbreiten. Die Kombination aus großflächiger Paket-Kompromittierung, Krypto-Diebstahl-Fokus und staatlicher Zuschreibung macht die Kampagne besonders ernst. Dass Entwicklerwerkzeuge gezielt instrumentalisiert werden, verschiebt das Risiko in die Software-Lieferkette und in die Entwicklungsumgebungen selbst.

Betroffene Branchen und Technologien

Im Fokus stehen Entwickler im npm-/JavaScript-Ökosystem (Technologie it-saas) sowie — durch den Payload-Fokus auf Kryptowährungs-Erweiterungen — der Finanz-/Krypto-Bereich. Grundsätzlich ist jede Organisation betroffen, die kompromittierte Pakete als Abhängigkeit einbindet.

Priorisierungssignale

  • Staatliche Zuschreibung (Sapphire Sleet/BlueNoroff, via Microsoft)
  • Großflächige Kompromittierung (> 140 npm-Pakete)
  • Krypto-Diebstahl als Ziel
  • Muster: gezielter Missbrauch von Entwicklerwerkzeugen durch mehrere NK-Cluster

Defensive Empfehlungen

  • Abhängigkeiten gegen die als kompromittiert gemeldeten Mastra-/npm-Pakete abgleichen und betroffene Versionen entfernen/zurückrollen.
  • Dependency-Pinning, Lockfiles und Prüfung neuer/aktualisierter Pakete (z. B. via interner Registry/Mirror) durchsetzen.
  • Entwickler-Endpunkte und CI/CD-Umgebungen auf Anzeichen nachgeladener Payloads und Krypto-Wallet-/Extension-Zugriffe prüfen.
  • Mitarbeitende für gefälschte Microsoft-Sicherheitswarnungen und Spear-Phishing (NarwhalRAT-Masche) sensibilisieren.

Quellenhinweise

Grundlage sind Berichte von SecurityWeek und BleepingComputer (mit Microsofts Zuschreibung) sowie The Hacker News zu den begleitenden nordkoreanischen Kampagnen.

Was Security-Teams jetzt prüfen sollten

  • 1Abhängigkeiten gegen die als kompromittiert gemeldeten Mastra-/npm-Pakete abgleichen und betroffene Versionen entfernen/zurückrollen.
  • 2Dependency-Pinning, Lockfiles und Review neuer/aktualisierter Pakete (interner Mirror) durchsetzen.
  • 3Entwickler-Endpunkte und CI/CD auf nachgeladene Payloads und Krypto-Wallet-/Extension-Zugriffe prüfen.
  • 4Mitarbeitende für gefälschte Microsoft-Warnungen und Spear-Phishing sensibilisieren.
  • 5SBOM/SCA-Scans für npm-Projekte einsetzen, um eingeschleuste Abhängigkeiten zu erkennen.

Betroffene Branchen

finanzen

Betroffene Technologien

it-saas

Transparenz & Redaktion

  • Analyse: SecBoard Research
  • Redaktionell verantwortlich: Eike Fellgiebel
  • KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
  • Stand: 28. Juni 2026
Wie SecBoard arbeitet: Methodik & Quellen
#Nordkorea#Sapphire Sleet#BlueNoroff#npm#Supply Chain#Mastra#Kryptowährung