Diese Woche musste die Entwicklungsgemeinschaft von Node.js in eine unangenehme Erinnerung passen: Die Lieferketten der Software sind so zerbrechlich wie die Menschen, die sie pflegen. Beliebte HTTP Axios-Clientführer veröffentlichten einen detaillierten Bericht über einen Vorfall, in dem Angreifer es geschafft, ein Wartungskonto zu kompromittieren und zwei bösartige Versionen des Pakets in der npm-Datensatz zu veröffentlichen. Diese Versionen, gekennzeichnet als 1.14.1 und 0.30.4, sie führten eine Einheit namensKlar-Krypto-jsdie einen Remote-Zugriff Trojan in der Lage, auf macOS, Windows und Linux laufen.
Das Belichtungsfenster war kurz - die böswilligen Versionen waren etwa drei Stunden vor dem Entfernen im Register - aber diese kurze Zeit war genug für Projekte und Umgebungen, die sie heruntergeladen haben, um gefährdet zu sein. Axio-Betreuer haben gewarnt, dass jedes System, das diese Versionen in diesem Zeitraum installierte, als beeinträchtigt betrachtet werden sollte und empfohlen haben, rotierende Anmeldeinformationen und Authentifizierungsschlüssel. Darüber hinaus löschte das betroffene Team kompromittierte Maschinen und wieder etablierten Zugang bei der Umsetzung von Maßnahmen, um die Wahrscheinlichkeit zu reduzieren, dass etwas Ähnliches wieder passieren wird. Sie können das offizielle Post-Motem im Axios-Repository in GitHub lesen: https: / / github.com / axios / axios / Ausgaben / 10636.
Was diesen Vorfall besonders stört, ist nicht nur Malware selbst, sondern die Art und Weise, wie die Angreifer Zugang bekamen: eine viel gearbeitete Social Engineering-Kampagne, die auf Betreuer abzielt. Nach der Chronik der Betroffenen begann der Angriff mit der Implantation eines legitimen Unternehmens, dessen Unternehmensbild zu replizieren und falsche Profile zu erstellen, die Mitarbeiter und Mitarbeiter des Open Source-Ökosystems simulierten. Von dort luden sie Entwickler zu einem "zuverlässigen" Slack Raum und organisierten Videoanrufe, die authentisch schienen.
Bei einem dieser simulierten Treffen zeigten die Angreifer einen angeblichen technischen Fehler, der die Installation eines Microsoft Teams-Updates motivierte. Dieses "Update" war nichts anderes als ein Installateur, der eine RAT auf dem Team des Betreuers eingesetzt hat, so dass Angreifer auf authentifizierte Sitzungen zugreifen und npm Anmeldeinformationen extrahieren können. Mit anderen Worten wurde der MFA-basierte Schutz untergraben, weil der Zugriff von bereits authentifizierten Sitzungen materialisiert wurde. Die Erklärung und Analyse der Google Threat Intelligence Group, die die Operation dem als UNC1069 verfolgten Schauspieler zuschreibt, enthält weitere Details über die verwendete Infrastruktur und ihre Parallelen zu früheren Kampagnen: https: / / cloud / google.com / blog / themen / amenat-intelligence / North-korea-amenat-actor-targets -axios-npm-package.
Sicherheitsgruppen, die der Führung dieser Aktivität gefolgt sind, weisen darauf hin, dass es sich hier nicht um einen isolierten Angriff handelt, sondern um eine koordinierte und gezielte Kampagne für Projekte mit großer Abhängigkeit vom Ökosystem Node.js. Die Socket-Firma, die eine Analyse des Angriffsmusters veröffentlichte, hat dokumentiert, wie Angreifer mehrere Betreuer über LinkedIn, Slack oder andere Plattformen kontaktierten und den gleichen Operandi-Modus replizierten: Einladungen zu privaten Räumen, Treffen mit scheinbar realen Schauspielern und Druck, um "native" Software zu installieren oder Konsolenbefehle zu führen, die das Herunterladen von Malware beendeten. Socket fasst seine Ergebnisse und Bedenken über die Auswirkungen auf High-Use-Pakete in diesem Artikel zusammen: https: / / socket.dev / blog / angreifer-hunting-high-impact-nodejess-maintainers.
Nicht alle Ziele gaben Weg. Mehrere Betreuer teilten, wie sie Anträge auf die Installation von Binaries oder Befehle, und einer von ihnen, Pelle Wessman, zeigte eine Erfassung der betrügerischen Nachricht, die sie ihnen präsentiert - ein angeblicher RTC-Verbindungsfehler - und erklärte, dass, wenn er sich weigerte, den Installateur zu führen, die Angreifer sogar versuchten, ihn zu überzeugen, einen Curl-Befehl zum Download von Code. Ihr Zeugnis ist in LinkedIn und den post-mortem Threads verfügbar: veröffentlicht von Pelle Wessman.
Eine relevante technische Dimension ist dabei, dass die Angreifer den Quellcode des Axios-Projekts nicht direkt ändern. Stattdessen injizierten sie eine schädliche Abhängigkeit in legitime Pakete, eine Taktik, die es schädlichen Schauspielern ermöglicht, schädlichen Code in ein scheinbar zuverlässiges Update zu packen. Diese Strategie unterstreicht, warum Software-Versorgungsketten und insbesondere Paket-Repositories so attraktiv sind: Kompromisse bei einer beliebten Buchhandlung können einen Angriff auf Tausende oder Millionen Nutzer verstärken.
Was kann ein Entwickler oder ein Team tun, wenn Sie vermuten, dass Sie eine der betroffenen Versionen installiert haben? Am unmittelbarsten und umsichtigsten ist es, zu handeln, als ob das System verpflichtet war: anzunehmen, dass Token, npm Anmeldeinformationen und Sitzungen ausgesetzt wurden, und zu rotieren und zu widerrufen. Es ist auch angebracht, die Sperrdateien (package-lock.json, garn.lock) zu prüfen, unerwartete Abhängigkeiten zu erkennen, Installationshistorien zu prüfen und CI / CD-Logs für ungewöhnliche Aktivität zu überprüfen. Für spezifisches npm-Kontomanagement wird die Authentifizierung von zwei Faktoren aktiviert oder verstärkt und die Automatisierungstoken der Überprüfung empfohlen; npm dokumentiert gute Praktiken und 2FA-Konfiguration auf seiner Website: https: / / docs.npmjs.com / konfiguring-two-factor-authentication.
Jenseits von Notoperationen eröffnet diese Folge weitere Fragen zum Schutz des Open Source-Ökosystems. Die Betreuer arbeiten oft mit begrenzten Ressourcen und erhalten legitime Anträge auf Zusammenarbeit mit Assiduity; die Raffinesse dieser Kampagnen erfordert jedoch strengere Protokolle: Identitätsprüfung von neuen Mitarbeitern, klar definierte Kommunikationskanäle, Wartungs-Maschinen-Härtungspraktiken (dedizierte und segregierte Maschinen) und Publishing-Prozesse, die die Verwendung von persönlichen Token für kurze Zeit Anmeldeinformationen oder CI-Flows mit minimalen minimieren.
Schließlich sollte daran erinnert werden, dass Akteure mit finanziellen oder staatlichen Motivationen früher ähnliche Taktiken verwendet haben, eine Vielzahl von Werkzeugen wie Backdoors, Download und Infostealer zur Erfassung von Anmeldeinformationen, Cookies und anderen Geheimnissen. Googles Beitrag an UNC1069 erwähnt die Verwendung einer benannten Variante WAVESHAPER. V2, die diesen Vorfall mit Mustern verbindet, die in früheren Kampagnen gegen Opfer des kritischen Sektors und anderer Infrastruktur beobachtet werden: GTIG Analyse.
Die Lektion ist klar und hart: Software-Sicherheit ist nicht nur ein technisches Problem, es ist auch ein menschliches Problem. Der Schutz von hocheffizienten Projekten erfordert nicht nur automatische Kontrollen, sondern Schulungen, Protokolle und Ressourcen, damit diejenigen, die kritische Teile halten, nicht die schwächste Verbindung sind. In der Zwischenzeit, wenn Sie Projekte verwalten, die von Axios abhängen oder mit npm Paketen arbeiten, überprüfen Sie Ihre Einrichtungen, kümmern sich um die genannten und gebrochenen Schlüssel- und Tokenversionen heruntergeladen wurden.
Um das Lesen des Vorfalls und seine Untersuchung zu erweitern, können Sie neben Axios' post-mortem und Googles Bericht die technische Berichterstattung in spezialisierten Medien, zum Beispiel in BleepingComputer, konsultieren, die den Angriff und seinen Umfang zusammenfasst: https: / / www.bleepingcomputer.com / news / security / hackers-compromise-axios-npm-package-to-drop-cross-platform-malware /.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...