Nordkoreanische Akteure hinter Mastra-NPM-Supply-Chain-Angriff — Entwicklertools als Malware-Kanal

Kurzfazit
Microsoft führt einen Supply-Chain-Angriff auf das Mastra-AI-Ökosystem auf die nordkoreanische Gruppe Sapphire Sleet (BlueNoroff) zurück: Eine bösartige Abhängigkeit in über 140 npm-Paketen lädt eine Payload nach, die Kryptowährungs-Erweiterungen ins Visier nimmt. Der Vorfall reiht sich in eine Welle nordkoreanischer Kampagnen ein, die gezielt Entwicklerwerkzeuge missbrauchen.
Was ist passiert?
Microsoft hat einen Supply-Chain-Angriff auf das Mastra-AI-Ökosystem der nordkoreanischen Hackergruppe Sapphire Sleet (auch bekannt als BlueNoroff) zugeschrieben. Laut den Quellen fügten die Angreifer eine bösartige Abhängigkeit zu über 140 npm-Paketen hinzu, die eine Payload nachlädt, welche gezielt Kryptowährungs-Erweiterungen angreift. Der Vorfall steht im Kontext weiterer nordkoreanischer Aktivitäten: ScarCruft (APT37) nutzte gefälschte Microsoft-Sicherheitswarnungen per Spear-Phishing zur Verteilung von NarwhalRAT, und Forscher beobachten generell, wie nordkoreanische Cluster (u. a. Contagious Interview / Famous Chollima) Entwicklerwerkzeuge als Malware-Verteilkanal missbrauchen.
Warum ist das relevant?
Supply-Chain-Angriffe über npm treffen Entwickler und nachgelagert deren Produkte und Nutzer — eine einzige bösartige Abhängigkeit kann sich über viele Projekte verbreiten. Die Kombination aus großflächiger Paket-Kompromittierung, Krypto-Diebstahl-Fokus und staatlicher Zuschreibung macht die Kampagne besonders ernst. Dass Entwicklerwerkzeuge gezielt instrumentalisiert werden, verschiebt das Risiko in die Software-Lieferkette und in die Entwicklungsumgebungen selbst.
Betroffene Branchen und Technologien
Im Fokus stehen Entwickler im npm-/JavaScript-Ökosystem (Technologie it-saas) sowie — durch den Payload-Fokus auf Kryptowährungs-Erweiterungen — der Finanz-/Krypto-Bereich. Grundsätzlich ist jede Organisation betroffen, die kompromittierte Pakete als Abhängigkeit einbindet.
Priorisierungssignale
- Staatliche Zuschreibung (Sapphire Sleet/BlueNoroff, via Microsoft)
- Großflächige Kompromittierung (> 140 npm-Pakete)
- Krypto-Diebstahl als Ziel
- Muster: gezielter Missbrauch von Entwicklerwerkzeugen durch mehrere NK-Cluster
Defensive Empfehlungen
- Abhängigkeiten gegen die als kompromittiert gemeldeten Mastra-/npm-Pakete abgleichen und betroffene Versionen entfernen/zurückrollen.
- Dependency-Pinning, Lockfiles und Prüfung neuer/aktualisierter Pakete (z. B. via interner Registry/Mirror) durchsetzen.
- Entwickler-Endpunkte und CI/CD-Umgebungen auf Anzeichen nachgeladener Payloads und Krypto-Wallet-/Extension-Zugriffe prüfen.
- Mitarbeitende für gefälschte Microsoft-Sicherheitswarnungen und Spear-Phishing (NarwhalRAT-Masche) sensibilisieren.
Quellenhinweise
Grundlage sind Berichte von SecurityWeek und BleepingComputer (mit Microsofts Zuschreibung) sowie The Hacker News zu den begleitenden nordkoreanischen Kampagnen.
Was Security-Teams jetzt prüfen sollten
- 1Abhängigkeiten gegen die als kompromittiert gemeldeten Mastra-/npm-Pakete abgleichen und betroffene Versionen entfernen/zurückrollen.
- 2Dependency-Pinning, Lockfiles und Review neuer/aktualisierter Pakete (interner Mirror) durchsetzen.
- 3Entwickler-Endpunkte und CI/CD auf nachgeladene Payloads und Krypto-Wallet-/Extension-Zugriffe prüfen.
- 4Mitarbeitende für gefälschte Microsoft-Warnungen und Spear-Phishing sensibilisieren.
- 5SBOM/SCA-Scans für npm-Projekte einsetzen, um eingeschleuste Abhängigkeiten zu erkennen.
Betroffene Branchen
Betroffene Technologien
Transparenz & Redaktion
- Analyse: SecBoard Research
- Redaktionell verantwortlich: Eike Fellgiebel
- KI-gestützte Erstellung: Quellen-Clustering, Erstentwurf und Übersetzung erfolgen KI-gestützt auf Basis der verlinkten Originalquellen.
- Stand: 28. Juni 2026