Beamglea-Kampagne: Hacker missbrauchen npm-Registry für Phishing

Eine raffinierte Cyberkriminalitäts-Kampagne namens „Beamglea“ nutzt die Vertrauenswürdigkeit der npm-Registry als Sprungbrett für großangelegte Phishing-Angriffe. Sicherheitsforscher deckten diese Woche auf, dass bereits über 135 Unternehmen aus Technologie-, Industrie- und Energiesektoren ins Visier geraten sind.

Die Attacke zeigt beispielhaft, wie Cyberkriminelle 2025 immer perfidere Methoden entwickeln: Sie missbrauchen vertrauensvolle Entwickler-Plattformen, um Opfer auf gefälschte Microsoft-Anmeldeseiten zu locken. Was diese Kampagne besonders gefährlich macht – sie tarnt sich als harmlose Software-Pakete in einem System, dem Millionen Entwickler weltweit vertrauen.

Perfide Tarnung in der Entwickler-Infrastruktur

Die Angreifer veröffentlichen scheinbar harmlose, aber bösartige Pakete in der npm-Registry – einem öffentlichen Archiv für JavaScript-Code. Diese Pakete enthalten Skripte, die über speziell präparierte HTML-Dateien aktiviert werden können. Sobald ein Opfer diese Datei öffnet, leitet ein Content Delivery Network (CDN) den Nutzer automatisch auf eine täuschend echt wirkende gefälschte Microsoft-Anmeldeseite weiter.

Das Sicherheitsunternehmen Socket identifizierte mindestens 175 bösartige Pakete mit über 26.000 Downloads. Die Phishing-Seiten sind oft personalisiert und zeigen bereits die E-Mail-Adresse des Opfers vor – ein Trick, der die Erfolgsrate der Angriffe erheblich steigert.

Besonders tückisch: Da die Weiterleitungen über die vertrauenswürdige npm-Registry und das unpkg-CDN laufen, können Unternehmen den schädlichen Traffic kaum blockieren, ohne ihre eigenen Entwicklungsprozesse zu beeinträchtigen.

KI revolutioniert das Phishing-Geschäft

Die „Beamglea“-Kampagne steht exemplarisch für einen dramatischen Wandel in der Cyberkriminalität. Sicherheitsexperten beobachten 2025 einen drastischen Anstieg KI-generierter Phishing-E-Mails, die nahezu perfekte, personalisierte Nachrichten erstellen können.

Parallel dazu erobert „Quishing“ den Markt – bösartige QR-Codes in E-Mails führen ahnungslose Nutzer direkt auf betrügerische Webseiten. Die Angreifer beschränken sich längst nicht mehr auf E-Mails: Sie nutzen Collaboration-Tools wie Slack und Teams, SMS-Nachrichten und sogar Telefonanrufe, um Vertrauen aufzubauen.

Die Zahlen sprechen eine deutliche Sprache: Voice-Phishing-Angriffe (Vishing) stiegen um 1.633 Prozent, SMS-Phishing (Smishing) um 250 Prozent im Vergleich zum Vorquartal.
Anzeige: Smishing und Quishing nehmen rasant zu – besonders am Smartphone. Viele Android-Nutzer übersehen dabei 5 einfache Schutzmaßnahmen. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie WhatsApp, Online‑Banking und PayPal besser absichern – ohne teure Zusatz-Apps. Jetzt kostenloses Android‑Sicherheitspaket sichern

Multifaktor-Authentifizierung unter Beschuss

Selbst die Zwei-Faktor-Authentifizierung (MFA), lange Zeit der Goldstandard der IT-Sicherheit, gerät unter Druck. Cyberkriminelle setzen auf „MFA-Ermüdung“ – sie bombardieren Nutzer so lange mit Push-Benachrichtigungen, bis diese aus Frustration den Zugang freigeben.

Noch perfider sind Phishing-as-a-Service-Plattformen wie VoidProxy: Sie fungieren als Mittelsmann zwischen Opfer und echter Webseite und fangen dabei Session-Tokens und MFA-Codes in Echtzeit ab. Herkömmliche Zwei-Faktor-Authentifizierung wird so praktisch wirkungslos.

Milliardenschwere Datenberge befeuern Angriffe

Der industrielle Maßstab moderner Phishing-Kampagnen wird durch massive Datenlecks befeuert. Im Juni 2025 entdeckten Forscher die größte Anmeldedaten-Panne der Geschichte: 16 Milliarden gestohlene Login-Credentials lagen in verschiedenen Datenbanken offen.

Diese gewaltigen Datenmengen ermöglichen „Credential Stuffing“-Angriffe, bei denen automatisierte Bots gestohlene Zugangsdaten auf unzähligen Webseiten testen. Die „Beamglea“-Kampagne zeigt, wie Kriminelle diese Daten systematisch für maßgeschneiderte Phishing-Seiten nutzen.

Menschlicher Faktor bleibt Schwachstelle Nummer eins

Trotz aller technischen Fortschritte beginnen noch immer bis zu 90 Prozent erfolgreicher Cyberangriffe mit einer Phishing-E-Mail. Die durchschnittlichen Kosten eines durch Phishing verursachten Datenlecks belaufen sich auf fast 4,7 Millionen Euro.

Experten fordern deshalb eine Rückbesinnung auf Cybersicherheits-Grundlagen – passend zum nationalen Cybersicherheits-Monat Oktober. Der Schlüssel liegt in mehrschichtigen Verteidigungsstrategien: KI-gestützte E-Mail-Filter, kontinuierliche Mitarbeiterschulungen und strenge MFA-Richtlinien.
Anzeige: Für den privaten Alltag gehört das Smartphone zu den größten Angriffsflächen. So sichern Sie Ihr Android ohne teure Zusatz‑Apps: Ein kostenloses Sicherheitspaket führt Sie durch die 5 wichtigsten Maßnahmen – klar erklärt und sofort umsetzbar. Kostenloses Android‑Sicherheitspaket anfordern

Die Zukunft gehört phishing-resistenten Authentifizierungsmethoden wie FIDO2-Hardware-Sicherheitsschlüsseln. In einer Welt, in der Angreifer permanent vertrauensvolle Plattformen missbrauchen, wird ein Zero-Trust-Ansatz unverzichtbar – jede Zugriffsanfrage muss skeptisch geprüft werden.