Packagist Supply Chain Attack betrifft acht Pakete

Am 24. Mai 2026 wurde bekannt, dass eine koordinierte Supply Chain Attacke die Packagist-Plattform getroffen hat. Diese Attacke hat acht verschiedene Pakete infiziert, die alle über Composer verwaltet werden. Die Sicherheitsfirma Socket hat die Details dieser Attacke veröffentlicht und warnt vor den möglichen Folgen für Entwickler und Nutzer.

Die Angreifer haben schädlichen Code in die betroffenen Pakete eingefügt, der darauf abzielt, ein Linux-Binary von einer URL im GitHub Releases-Bereich herunterzuladen. Dies stellt eine ernsthafte Bedrohung für Projekte dar, die auf diese Pakete angewiesen sind, da der schädliche Code nicht in der üblichen composer.json-Datei, sondern in der package.json-Datei versteckt wurde.

Details zur Attacke

Die Attacke ist besonders besorgniserregend, da sie gezielt JavaScript-Projekte angreift. Entwickler, die diese Pakete verwenden, könnten unwissentlich den schädlichen Code in ihre Anwendungen integrieren. Socket hat darauf hingewiesen, dass die betroffenen Pakete möglicherweise weit verbreitet sind und in vielen Projekten eingesetzt werden.

Die Tatsache, dass der schädliche Code nicht in der composer.json-Datei, sondern in der package.json-Datei platziert wurde, zeigt, dass die Angreifer gezielt nach Wegen gesucht haben, um ihre Malware zu tarnen. Dies könnte es für Entwickler schwieriger machen, die Bedrohung zu erkennen und geeignete Maßnahmen zu ergreifen.

Die Sicherheitsfirma hat empfohlen, dass Entwickler, die diese Pakete verwenden, ihre Abhängigkeiten überprüfen und sicherstellen, dass sie keine der betroffenen Versionen installiert haben. Es wird auch geraten, die Integrität der verwendeten Pakete regelmäßig zu überprüfen, um potenzielle Sicherheitsrisiken frühzeitig zu erkennen.

Reaktionen der Community

Die Reaktionen in der Entwickler-Community sind gemischt. Einige Entwickler äußern Besorgnis über die Sicherheit von Open-Source-Paketen und fordern mehr Transparenz und Sicherheitsmaßnahmen. Andere betonen die Notwendigkeit, bewährte Praktiken bei der Verwaltung von Abhängigkeiten zu befolgen, um das Risiko von Angriffen zu minimieren.

Die Vorfälle haben auch Diskussionen über die Verantwortung von Plattformen wie Packagist und GitHub angestoßen, die eine zentrale Rolle bei der Bereitstellung von Softwarepaketen spielen. Viele in der Community fordern, dass diese Plattformen proaktive Maßnahmen ergreifen, um die Sicherheit ihrer Nutzer zu gewährleisten.

Die Attacke auf Packagist ist nicht der erste Vorfall dieser Art, und Experten warnen, dass solche Angriffe in Zukunft zunehmen könnten. Die Komplexität moderner Softwareentwicklung und die Abhängigkeit von Drittanbieter-Paketen machen es für Angreifer einfacher, Schwachstellen auszunutzen.

Die betroffenen Pakete sind derzeit nicht mehr verfügbar, und die Entwickler von Packagist arbeiten daran, die Sicherheitslücken zu schließen und die Integrität der Plattform wiederherzustellen. Die Vorfälle haben auch zu einer verstärkten Diskussion über die Notwendigkeit von Sicherheitsüberprüfungen und Audits in der Open-Source-Community geführt.