Die hartnäckige Kampagne im Zusammenhang mit Nordkorea, die Forscher getauft haben als Ansteckendes Interview hat kürzlich sein Handlungsspektrum erweitert: Es ist nicht mehr auf eine einzige Plattform beschränkt, sondern hat es geschafft, schädliche Pakete in mehrere Open Source-Ökosysteme zu infiltrieren. Sicherheitsforscher haben Artefakte entdeckt, die wie legitime Tools für Entwickler in verschiedenen Repositories wie npm, PyPI, Go, Rust und Packagist aussehen, aber deren eigentliches Ziel ist es, böswillige Nutzlasten herunterzuladen, die als Informationsräuber und Hintertüren fungieren.
Die Angreifer haben eine besonders nüchterne Technik verwendet: Der schädliche Code wird zum Zeitpunkt der Installation nicht aktiviert, sondern wird innerhalb von Funktionen getarnt, die dem funktionalen Versprechen der Verpackung passen. Dies macht die Oberflächenbewertung von einem Entwickler nichts verdächtiges nicht erkennen; in einem Fall wurde bösartiges Verhalten innerhalb einer Methode namens verstecktSpurenvon einem Logger, eine Routine, die viele Teams gut ohne weitere Inspektion betrachten würde. Diese Art von sigil verwandelt scheinbar sichere Pakete in sehr effektive erste Zugriffsvektoren weil sie das automatische Vertrauen nutzen, das in öffentlichen Büros besteht.
Die in diesen Paketen enthaltenen Lader fungieren als Orchestratoren: Sie erholen eine zweite Etappe, die auf die betroffene Plattform spezifisch ist. Diese zweite Phase hat Malware mit Infostealer und Remote Access-Funktionen, vor allem zum Entfernen von Daten von Browsern, Passwort-Manager und Kryptomoneda-Münzen. Im Falle der Windows-Variante, die über eines dieser Pakete verteilt wird, beschreiben Analysten ein vollständiges Post-Enginement-Implantat: Shell-Befehl Ausführung, Key-Log, Browser-Daten Exfiltration, Datei-Uploading, Browser-Verschluss, AnyDesk Remote Access-Bereitstellung, verschlüsselte Datei-Erstellung und zusätzlichen Modul-Download. Es ist der Unterschied zwischen einem einfachen Anmelde-Dieb und einer Spionage-Plattform mit Persistenz und Erweiterungsfähigkeit..
Das Ausmaß der Operation - das Eindringen von fünf verschiedenen offenen Ökosystemen - und die Komplexität der verwendeten Werkzeuge machen die Spezialisten denken, dass dies keine Amateurinitiative ist. Socket Security, deren Analyse viel von dieser Aktivität enthüllt hat, hat seit Anfang 2025 Hunderte und schließlich Tausende von Kampagnenpaketen identifiziert, was eine nachhaltige und gut finanzierte Operation anzeigt. Sie können allgemeine Ressourcen und Analysen zur Sicherheit in der Software-Versorgungskette im GitHub Good Practice Repository überprüfen GitHub Supply Chain Sicherheit oder im CISA-Lieferkettensicherheitsführer CISA Sicherheit der Lieferkette.
Diese Bemühungen sind Teil einer breiteren Kampagne, die von verschiedenen Teams an nordkoreanische Gruppen mit finanziellen Motivationen zugeschrieben wird, die von der Gemeinschaft als Akteure beschrieben werden, die die soziale Entwicklung des Patienten und zunehmend anspruchsvollere Werkzeuge kombinieren. Dies ist nicht das erste Mal, dass wir gesehen haben, wie ein beliebtes Paket als Hebel verwendet wird, um ein Implantat zu verteilen: Die Übernahme von Betreuern und die Veröffentlichung von kompromittierten Versionen ist eine wiederkehrende Technik in dieser Art von Bedrohung. Zur Bedeutung des Schutzes der Lieferkette und der Erfahrungen aus früheren Vorfällen gibt es zahlreiche Analysen und Empfehlungen in der Industrie, einschließlich Berichte von Sicherheitsunternehmen und Plattformen wie Snyk oder den Microsoft Security Blog Microsoft Security.
Neben den Infektionen über Pakete kombinieren die gleichen Gruppen diese Taktik mit langfristigen Social Engineering-Kampagnen. Neuere Berichte von Sicherheits-Geheimdienstorganisationen zeigen, dass Angreifer Kontaktphasen durch Telegram, LinkedIn oder Slack erstellen, als zuverlässige Kontakte oder anerkannte Marken posieren und schließlich Links zu gefälschten Zoom- oder Microsoft-Teams-Meetings senden, die als Decoy dienen. Die Links führen zu Lures, die, sobald das Opfer aktiviert ist, Implantate herunterladen, die für Wochen still bleiben, bis der Aggressor entscheidet, sie zu aktivieren. Operationelle Geduld - nicht unmittelbar nach dem Eindringen - ist einer der Schlüssel, um den Wert zu maximieren, der vor dem Erkennen der Lücke gewonnen wird.
Einige Organisationen haben Domains und Kampagnen im Zusammenhang mit diesen Programmen dokumentiert und blockiert. Massive Domänenblockagen, die Videokonferenzen und Bankdienste imitieren, sind eine kurzfristige defensive Maßnahme, ersetzen aber keine Sicherheitskontrollen in der Software-Lieferkette selbst oder Hygienepraktiken wie Unit Scannen, Paket Signing und Multi-Maintenance Change Review. Um spezifische Taktiken und Verhaltensmuster zu vertiefen, die mit diesen Bedrohungen verbunden sind, haben spezialisierte Medien die Berichterstattung und Analyse veröffentlicht; eine Information über Vorfälle im Paket-Ökosystem und die Zuschreibung bestimmter Verpflichtungen finden sich in Publikationen wie The Hacker News.
Was bedeutet das für Entwickler und Sicherheitsausrüstung? Erstens ist das automatische Vertrauen in externe Abhängigkeiten ein echter Schwachpunkt; nur den Namen und die angegebene Funktionalität einer Buchhandlung zu überprüfen ist nicht mehr ausreichend. Zweitens ist es wichtig, die Erkennung und Reaktion auf Endpunkte und Entwicklungsserver zu implementieren, um anormale Nachinstallationsverhalten zu identifizieren. Und drittens müssen Organisationen annehmen, dass die Exposition mit unerwarteten Mitteln kommen kann: ein Logging-Paket, ein Lizenz-Dienstprogramm oder ein Oberflächenhelfer kann der ursprüngliche Vektor sein.
Die Community und Plattformen halten verschiedene Möglichkeiten, Vorfälle in Paket-Repositories zu melden und zu mildern, und Teams sollten eine proaktive Haltung einnehmen: um den Ruf der Betreuer zu überprüfen, nachprüfbare Signaturen und Hashes zu verlangen, Sperrmaßnahmen für unerwartete Abhängigkeiten zu verwenden und automatisierte Software-Zusammensetzungsanalyse zu implementieren. Die Kombination der technischen Kontrollen mit der Ausbildung zur Erkennung von Sozialtechnik reduziert das Risiko, beseitigt es aber nicht; angesichts der nationalen Akteure mit Ressourcen und Geduld erfordert Verteidigung Schichten und ständige Überwachung.
Die Erweiterung von Contagious Interview erinnert daran, dass die Versorgungskettensicherheit jetzt eine strategische, nicht nur operative, Frage ist. Die Tools und Prozesse, mit denen wir Software aufbauen, können zu Einstiegstüren werden, wenn sie nicht geschützt sind, und die Zusammenarbeit zwischen Gemeinden, Plattformen und Sicherheitsteams wird der Schlüssel zur Bewältigung von Bedrohungen über Grenzen und Ökosysteme sein. Zur weiteren Lektüre der Art dieser Kampagnen und der besten Verteidigungspraktiken empfehle ich, die Ressourcen des CISA zu konsultieren CISA, GitHubs technische Dokumentation zur Supply-Chain-Sicherheit und Sektor-Analyse auf Sicherheits-Blogs als Snyk und Microsoft Security anerkannt.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...