TeamPCP-Gruppe kapert hunderte NPM- und PyPI-Pakete: Credential-Diebstahl-Malware im Umlauf

Eine wiederholte Offensive der Hackergruppe TeamPCP hat die Software-Lieferketten von NPM und PyPI erneut unter Druck gesetzt. Nach bisherigen Erkenntnissen wurden hundreds von Paketen in beiden Repositories mit Schadcode infiziert, der gezielt auf die Extraktion von Zugangsdaten ausgelegt ist. Die Kampagne folgt einem bekannten Muster: Die Angreifer nutzen typische Paketnamen, die an beliebte Libraries erinnern, um Entwickler zu täuschen und die infizierten Versionen in Projekte einzuschleusen.

Die kompromittierten Pakete agieren dem Anschein nach als Multi-Faktor-Schadprogramm. Sobald sie in Entwicklungsumgebungen oder CI/CD-Pipelines eingebunden werden, scannen sie lokale Konfigurationsdateien, Umgebungsvariablen und gespeicherte Credentials. Besonders kritisch: Auch private npm-Tokens und Python-PyPI-Zugangsdaten sollen abgegriffen werden. Die Reichweite der Infektionen deutet darauf hin, dass neben einzelnen Entwicklern möglicherweise auch Unternehmen betroffen sind, die die präparierten Pakete in ihre Build-Prozesse integriert haben.

Sicherheitsexperten warnen vor einer erhöhten Angriffsfläche, da supply-chain-Attacken dieser Art besonders schwer zu erkennen sind. Entwicklern wird geraten, ihre Abhängigkeitslisten unverzüglich zu prüfen, verdächtige Paketnamen zu verifizieren und keine unverifizierten Versionen einzuspielen. Die betroffenen Repositories stehen unter wachsendem Druck, ihre Sicherheitsmechanismen gegen Typosquatting und ähnliche Taktiken zu verschärfen.