Scavenger Loader: Neue Phishing-Welle bedroht Software-Entwickler

Eine neue Phishing-Kampagne nutzt gefälschte E-Mail-Verifizierungen, um Entwickler mit der hochgefährlichen Schadsoftware Scavenger Loader zu infizieren. Das Ziel: die Kompromittierung von Software-Paketbetreuern und ein Angriff auf die gesamte Lieferkette.

Die Angreifer setzen auf Social Engineering. Sie schicken gezielt Betreuer populärer Open-Source-Pakete Nachrichten, die zur Bestätigung einer E-Mail-Adresse auffordern. Klicken die Opfer auf den Link, wird die Schadsoftware Scavenger Loader eingeschleust. Diese Malware ist für ihre Tarnkappen-Fähigkeiten und den gezielten Diebstahl sensibler Daten berüchtigt. Die aktuelle Kampagne nutzt eine bekannte Schwachstelle in der Lieferkette (CVE-2025-54313) mit hohem Gefährdungspotenzial.

So funktioniert der zweistufige Angriff

Der Scavenger Loader agiert als Türöffner. Diese erste Komponente bahnt den Weg für den eigentlichen Schädling: einen leistungsstarken Infostealer. Dieses zweistufige Vorgehen ermöglicht es den Angreifern, zunächst unerkannt Fuß zu fassen, bevor sie ihre Datendiebstahl-Tools aktivieren.

Dieses Muster war bereits im Sommer 2025 der Auslöser für einen folgenschweren Angriff auf die Software-Lieferkette. Damals gelang es Cyberkriminellen, über eine Phishing-Mail die Zugangsdaten eines Betreuers für mehrere weit verbreitete NPM-Pakete zu stehlen – darunter eslint-config-prettier, ein Tool mit wöchentlich zig Millionen Downloads.

Passend zum Thema Phishing gegen Paketbetreuer: Selbst erfahrene Entwickler fallen auf gut gemachte Verifizierungs‑Mails herein. Das kostenlose Anti‑Phishing‑Paket erklärt in vier Schritten, wie Sie gezielte E‑Mails erkennen, E‑Mail‑Sicherheitsfilter richtig konfigurieren und CI/CD‑Secrets sowie .npmrc‑Tokens schützen. Enthalten sind Checklisten, psychologische Erkennungsmerkmale und konkrete Handlungsvorlagen für IT‑Teams und Maintainer. Ideal für Open‑Source‑Projekte und Unternehmen, die Lieferketten‑Angriffe effektiv verhindern wollen. Anti-Phishing-Paket jetzt herunterladen

Mit den gestohlenen Rechten veröffentlichten die Hacker bösartige Versionen dieser vertrauenswürdigen Entwickler-Tools. Die kompromittierten Pakete enthielten ein schädliches Installationsskript. Installierten oder aktualisierten Entwickler das Paket, wurde auf Windows-Systemen automatisch die Scavenger-Loader-DLL (oft als node-gyp.dll getarnt) ausgeführt.

Tarnkappe für Malware: So entgeht Scavenger der Entdeckung

Der Scavenger Loader besticht durch ein ganzes Arsenal an Techniken zur Verschleierung und Abwehr von Analysen. Die in Visual Studio C++ geschriebene Malware ist darauf ausgelegt, Sicherheitsforscher und automatisierte Sandbox-Umgebungen zu erkennen und zu blockieren.

Zu ihren Abwehrmechanismen gehören:
* Virtual-Machine-Erkennung: Der Loader sucht nach typischen Merkmalen virtualisierter Umgebungen, etwa von VMware oder QEMU.
* Scannen nach Sicherheitstools: Er durchsucht aktiv die laufenden Prozesse nach DLLs gängiger Antivirenprodukte und Analyse-Tools.
* Mehrschichtige Verschleierung: Die Malware nutzt XOR- und XXTEA-Verschlüsselung für ihre Kommunikation und setzt auf CRC32-Hashing, um benötigte Funktionen dynamisch aufzulösen. Dies macht eine statische Analyse für Sicherheitstools extrem schwierig.
* EDR-Umgehung: Scavenger verwendet indirekte Systemaufrufe, um Befehle auszuführen – eine Technik, die viele Endpoint Detection and Response (EDR)-Lösungen umgehen kann.

Entdeckt der Loader eine Analyse-Umgebung oder stuft das System als ungeeignet ein, stürzt er gezielt ab. So bleiben die eigentlichen Absichten der Angreifer im Verborgenen.

Das eigentliche Ziel: Der groß angelegte Diebstahl sensibler Daten

Hat sich der Loader erfolgreich eingenistet, baut er eine verschlüsselte HTTPS-Verbindung zu einem Command-and-Control-Server (C2) auf. Von dort lädt er den Stealer nach, der gezielt wertvolle Informationen vom kompromittierten Rechner abschöpft.

Der Fokus liegt auf Daten aus Chromium-basierten Browsern. Gestohlen werden Browser-Zugangsdaten, Session-Tokens, Informationen aus Krypto-Wallets und der detaillierte Browserverlauf. Für Entwickler ist der Diebstahl von Authentifizierungs-Tokens aus .npmrc-Konfigurationsdateien besonders fatal. Mit diesen Tokens könnten Angreifer weitere Software-Pakete kompromittieren und eine Kettenreaktion in der Lieferkette auslösen.

Die Wiederkehr dieser Malware in einer gezielten Kampagne gegen Paketbetreuer unterstreicht die wachsende Raffinesse der Bedrohungen für das Open-Source-Ökosystem. Die Kompromittierung eines einzigen vertrauenswürdigen Entwicklers kann Millionen von Nutzern infizieren.

Schutzmaßnahmen: Mehrschichtige Sicherheit ist entscheidend

Die aktuelle Kampagne zeigt erneut: Der Mensch ist oft das schwächste Glied in der Sicherheitskette. Entwickler und Organisationen müssen wachsam gegenüber Phishing-Versuchen bleiben, insbesondere wenn sie vermeintlich von vertrauten Diensten stammen und Handlungen zur Kontosicherheit fordern.

Experten empfehlen eine mehrschichtige Verteidigungsstrategie:
* Robuste E-Mail-Sicherheitsfilter
* Strenge Zugangskontrollen für Entwicklerkonten (Zwei-Faktor-Authentifizierung!)
* Regelmäßige Überprüfung von Open-Source-Abhängigkeiten mit Software Composition Analysis (SCA)-Tools

Angesichts der immer ausgefeilteren Angriffsmethoden ist eine proaktive und tief gestaffelte Sicherheitsstrategie für die Software-Lieferkette unerlässlich.

PS: Entwickler, Maintainer und IT‑Verantwortliche — diese kompakte Anleitung zeigt konkret, wie Sie NPM‑Token, Browser‑Credentials und CI/CD‑Logs gegen gezielten Diebstahl schützen. Der Guide liefert Praxisbeispiele zu erfolgreichen Abwehrstrategien, Vorlagen für E‑Mail‑Filterregeln und Maßnahmen für sichere Paket‑Publishing‑Prozesse. Laden Sie das Paket herunter und erhalten Sie sofort umsetzbare Checklisten für Ihre Lieferkette. So reduzieren Sie das Risiko einer Kettenkompromittierung nachhaltig. Jetzt Anti-Phishing-Paket sichern