Der jüngste Vorfall rund um das JavaScript-Paket „is“ ist mehr als ein technischer Zwischenfall der IT-Abteilung – er ist ein massiver Warnschuss für alle Führungskräfte aus der Wirtschaft: für CEOs, CIOs, CISOs und CSOs. Es zeigt sich erneut, was viele verdrängen: Ihre Digitalstrategie steht und fällt mit der Integrität der Software-Lieferkette. Und diese Lieferkette ist längst zu einem kritischen Einfallstor für wirtschaftskriminelle Akteure geworden.
Die Supply-Chain-Attacke auf „is“, eine Testing-Bibliothek mit rund 2,7 Millionen Downloads pro Woche, war kein Zufallsprodukt. Sie war das Ergebnis gezielter, strategischer Manipulationen in der Open-Source-Welt. Was dabei besonders brisant ist: Der Schadcode wurde nicht etwa durch veraltete Systeme, schwache Passwörter oder Nachlässigkeit in den eigenen Teams eingeschleust. Angreifer haben es über den Umweg eines Maintainer-Accounts in die offiziell veröffentlichte Version geschafft. Die kompromittierten Versionen 3.3.1 und 5.0.0 enthielten eine plattformübergreifende Malware, die unter anderem Remote-Zugriff auf Produktionssysteme ermöglichte – völlig unbemerkt.
Der Zwischenfall ist kein Einzelfall. Er ist Ausdruck einer funktionierenden Strategie von Angreifern, die sich längst auf die Software-Lieferkette, die sogenannte „Software Supply Chain“, spezialisiert haben. Für Unternehmen bedeutet das: Wer bei der Softwarebeschaffung auf Automatisierung, blinden Vertrauen und unzureichender Kontrolle setzt, riskiert im schlimmsten Fall komplette Systemkompromittierungen, Reputationsschäden und finanzielle Verluste.
Früher stand die interne IT-Infrastruktur im Zentrum der Sicherheitsarchitektur – heute ist es die Software-Lieferkette. Unternehmen verlassen sich täglich auf Tausende Pakete, Module und Bibliotheken. Sie fließen automatisiert in CI/CD-Pipelines ein, werden in Cloud-Prozesse integriert und sind vielfach produktionskritisch. Und hier liegt das Problem: Niemand prüft, ob diese Abhängigkeiten tatsächlich vertrauenswürdig sind.
Der Fall „is“ zeigt exemplarisch, wie einfach Angreifer mit einem gezielten Phishing-Angriff auf einen Maintainer-Account = Root-Zugang zu Millionen von Systemen bekommen können. Ein einziges npm-Paket mit eingeschleuster Malware – vollständig im Speicher des Systems deklariert, ausgeführt über simple Funktionen wie `new Function()` – reicht, um Remote-Code auszuführen, sensible Daten auszulesen und persistente Backdoors einzurichten.
Damit verändert sich die Bedrohungslage für Unternehmen grundlegend – und zwar schnell und in globalem Maßstab. Softwarehersteller, die sich auf Open-Source-Module oder externe Quellen verlassen, sind ebenso betroffen wie Unternehmen im E-Commerce, im Finanzwesen oder in der Industrieproduktion. Denn viele dieser Pakete sind omnipräsent – sie sitzen in jedem Frontend, Backend oder API-Gateway und operieren unter dem Radar klassischer AV- oder SIEM-Lösungen.
Der Phishing-Angriff auf den Maintainer und die anschließende Modifikation des „is“-Pakets ist kein Einzelfall. In der Vergangenheit waren unter anderem bereits Pakete wie eslint-config-prettier, synckit, napi-postinstall und got-fetch betroffen – allesamt weit verbreitete Tools in modernen Entwicklungsumgebungen.
Auffällig ist vor allem der professionelle Aufbau der geladenen Malware: Sie lädt system- und umgebungsbezogene Informationen wie Hostname, Plattform, CPU-Daten und Umgebungseinflüsse eigenständig in den Speicher und sendet sie über eine verschlüsselte WebSocket-Verbindung an einen durch die Angreifer kontrollierten Endpunkt – live.
In der Folge werden über diese Verbindung dynamisch weitere Schadfunktionen übergeben und direkt im Kontext mit der Berechtigung der Anwendung ausgeführt. Für Unternehmen bedeutet das de facto einen Live-Fernzugriff auf die betroffenen Systeme – und das, ohne dass ein klassischer Perimeter durchbrochen wurde.
Für CISOs und CSOs ergeben sich daraus eindeutige Konsequenzen:
Für die obersten Entscheidungsträger in Unternehmen ist ein weiterer Aspekt besonders wichtig: Die Konsequenzen eines erfolgreichen Supply-Chain-Angriffs sind nicht nur technischer, sondern insbesondere wirtschaftlicher Natur.
Wird beispielsweise ein kompromittiertes Paket in eine eigene Produktsoftware integriert und verschleppte Malware über diesen Weg an Kunden weitergegeben, drohen Haftungsfolgen – nicht nur durch Kunden, sondern auch durch behördliche Stellen im Rahmen von DSGVO-Verstößen, IT-Sicherheitsgesetzen oder Lieferkettengesetzen.
Und: Die Berufshaftpflicht- oder D&O-Versicherung greift in der Regel nur bei nachweislich nicht grob fahrlässigem Verhalten. Wenn einem Unternehmen nachgewiesen wird, dass grundlegende Sicherheitsmaßnahmen in der Softwarebeschaffung fehlten (etwa Codeanalyse, Software Bill of Materials, runtime monitoring, oder Schwachstellenmanagement in Abhängigkeiten), könnten Deckungssummen reduziert oder verweigert werden.
Open Source gilt für viele Unternehmen als Synonym für Geschwindigkeit, Innovationskraft und Kosteneffizienz. Doch diese Rechnung geht dann nicht mehr auf, wenn Risiken nicht einkalkuliert werden. Open Source ist kein Garant für Sicherheit – ganz im Gegenteil.
Die Verantwortung für Codeintegrität ist zersplittert, Updates erfolgen nicht zentral, und Maintainer sind oft Freiwillige ohne Sicherheitsbewusstsein oder mit privater Infrastruktur. Angriffe wie im Fall von „is“ zeigen, wie leicht diese Systeme manipulierbar sind.
In einer wirtschaftskriminellen Betrachtung ist Open Source für Angreifer das perfekte Einfallstor: Jeder kennt den Quelltext, niemand kontrolliert die Distributionswege lückenlos, und die Masse sorgt dafür, dass Infektionen maximale Verbreitung erreichen.
Führungskräfte müssen die romantische Vorstellung vom sicheren Ökosystem Open Source überdenken – und Open Source in ein professionelles Sicherheits- und Compliance-Framework einbetten.
Unternehmen, die aus diesem Vorfall echte Learnings ziehen wollen, müssen strategisch handeln. Nicht mit Ad-hoc-Sicherheits-Patches, sondern mit organisatorischer Stärke, Verantwortlichkeit und durchgängiger Transparenz. Die folgenden Maßnahmen sind dabei essenziell:
Als Spezialist für IT-Security, Industriespionageabwehr und Incident Response begleitet ProSec Unternehmen strategisch und operativ bei der Absicherung ihrer digitalen Wertschöpfungskette. Unsere Leistungen umfassen:
✅ Reverse Engineering infizierter Pakete zur forensischen Analyse und Erstellung technischer IOC-Signaturen
✅ Red Teaming auf Entwicklerprozesse – wir simulieren realistische Angreifer, die versuchen, Ihre Softwarelieferkette zu kompromittieren
✅ Aufbau eines Supply Chain Threat Intelligence Feeds, um verdächtige Open-Source-Komponenten beim Einsatz frühzeitig zu erkennen
✅ Sicherheitsaudits bei Softwarelieferanten, inkl. Open-Source-Compliance und Secure-Development-Guidelines
✅ Entwicklung von individuellen Krisenreaktionskonzepten**, maßgeschneidert auf Ihre Infrastruktur
Wir betrachten die Bedrohungslage nicht isoliert – wir verstehen sie in Ihrem wirtschaftlichen Kontext. Ziel ist es nicht nur, Angriffe zu verhindern, sondern Ihre unternehmerische Resilienz gezielt zu stärken.
Rufen Sie uns an, bevor Sie vom nächsten Angriff überrascht werden. Denn Sicherheit ist kein Plugin – sie beginnt mit Souveränität.
Weitere Informationen: [www.prosec-networks.com](https://www.prosec-networks.com)
