Ein neues Kapitel in der langen Geschichte der Angriffe auf die Entwickler-Lieferkette ist ans Licht gekommen und macht deutlich, dass Engagement-Vektoren sich weiterhin schnell entwickeln. Sicherheitsforscher haben eine aktive Kampagne identifiziert, die schädliche Pakete in npm als Fahrzeuge veröffentlicht verwendet, um Anmeldeinformationen zu stehlen, Kryptomoneda Schlüssel und vor allem als Wurm durch Entwicklungsumgebungen zu verbreiten. Die Unterschrift, die sie gemeldet hat, hat die Operation als SANDWORK _ Mode und hat eine komplexe Mischung von Techniken dokumentiert, um Umfang und Schaden zu maximieren.
Technische Forschung veröffentlicht von Sockel beschreibt, wie Angreifer mindestens 19 npm Pakete gruppiert haben, die von zwei Editor-Aliasen veröffentlicht wurden, in einer Typosquating- und Absichtsverteilungskampagne. Unter den erkannten Namen sind Pakete mit verdächtigen Marken wie claud-code, cloude, crypto-locale, crypto-reader-info, dete-cache, node-native-bridge, opencraw, secp256 und andere, die legitime Gewinne zu täuschen Entwickler und Automatisierungen emulieren. Darüber hinaus wurden vier "einschlafen" Pakete identifiziert, die jetzt keine schädliche Belastung enthalten, was die Betriebsreserven des Betreibers nahelegt.
Was SANDWORK _ MODE unterscheidet, ist die Kombination von Komponenten: eine erste Stufe, die als anfänglicher "Kollektor" wirkt und eine andere Sekundärstufe, die nach einer Latenzzeit fortgeschrittene Kapazitäten aktiviert. Die gefundenen Module ermöglichen es, GitHub und npm Zugriffstoken, CI / CD-Umgebungsgeheimnisse, Umgebungsvariablen, npm-Konfigurationsdateien und, in einigen Fällen, private Schlüssel und Anmeldeinformationen mit Geldbörse zu erfassen. Das Design ist bewusst: Die erste Stufe öffnet die Tür und die zweite Stufe nutzt den Zugang zur Massensammlung und Verbreitung.
Die Kampagne ist nicht auf die typische Ausführung in lokalen Einrichtungen beschränkt. Die Pakete umfassen einen GitHub Action Handled, der Geheimnisse von Pipelines entfernt und von HTTPS aus der betroffenen Umgebung sendet, mit einem Backup-Mechanismus, der DNS verwendet, um eine Exfiltration zu gewährleisten, auch wenn herkömmliche Kanäle ausfallen. Es gibt auch Code, der als destruktiver Schalter fungiert: Wenn Malware den Zugriff auf seine Kontroll-Repositories verliert, kann es versuchen, Inhalte aus dem persönlichen Verzeichnis des Benutzers zu löschen; dieser Löschmechanismus kommt standardmäßig in den analysierten Proben, aber seine bloße Existenz ist alarmierend.
Ein weiterer kritischer Punkt ist die explizite Ausrichtung auf Programmierassistenten und Tools basierend auf Sprachmodellen. Forscher beschreiben ein Modul namens "McpInject", das einen falschen Server, der mit dem Modellkontextprotokoll (MCP) und registriert es als legitimer Werkzeuganbieter. Dieser Server bietet "Werkzeuge", die Eingabeaufforderungen verbergen, um sensible Dateien zu lesen - wie SSH Schlüssel, .aws Anmeldeinformationen oder .npmrc und .env Dateien - und bereiten sie auf Exfiltration vor. Laut dem Bericht umfassen Ziel-Implementierungen beliebte Assistenten und Editoren wie Claude Code, Claude Desktop, Cursor, Microsoft Visual Studio Code und andere moderne Integrationen, wodurch IA-Toolchains eine neue Angriffsfront. Weitere Informationen zu den Konzepten von Werkzeugen in MCP finden Sie in der offiziellen Dokumentation: Modell Context Protocol - Werkzeuge.
Darüber hinaus wurde erkannt, dass Malware Techniken verwendet, um statische und dynamische Analyse zu vermeiden: Betreiber haben ein polymorphes Laufwerk in der Lage, ein Modell lokal eingeben (die Analyse umfasste die Referenz des Projekts Tiefsee-Coder) mit dem Ziel der Umbenennung von Variablen, Umschreiben von Steuerstrom, Einfügen von Abfallcode und Kodierungsketten. Obwohl diese Funktionalität in aktuellen Mustern deaktiviert ist, zeigt ihre Anwesenheit, dass Autoren planen, zukünftige Versionen zu sophisticate weniger nachweisbar zu werden.
Die Kampagnenarchitektur sorgt auch für eine geplante Verzögerung: die zweite Stufe wird nicht sofort aktiviert, sondern nach mindestens 48 Stunden und mit einer zusätzlichen Geräte-Zufälligkeit, die bis zu 48 Stunden hinzufügen kann. Dieses Verhalten reduziert die Wahrscheinlichkeit des Betriebes, der in unmittelbaren Installationsanalysen erfasst wird, und erleichtert eine anhaltende Infiltration, bevor die aggressivste Phase durchgeführt wird.
Parallel zu dieser Entdeckung haben andere Sicherheitsfirmen schädliche npm-Pakete mit ähnlichen Zwecken gemeldet. Veracode beschreibt eine weitere Täuschung mit einer versteckten Last innerhalb eines PNG-Bildes, das eine RAT läuft, während JFrog Er detailliert ein Paket, das ein legitimes Nutzen von ESLint darstellt und eine Kette von multimodalen Infektionen auslöst, Agenten für Windows, MacOS und Linux einsetzt und bekannte C2-Frames nutzt. Diese Ergebnisse zeigen ein Muster: Buchhandlungen und falsche Erweiterungen suchen Mechanismen der Persistenz und Datenextraktion, die weit über eine einfache böswillige Installation hinaus gehen. Die Analyse von Veracode kann hier gelesen werden: Veracode - Malicious npm Paket.
Es gibt auch Editoren-fokussierte Vektoren: Checkmark hat eine Visual Studio Code-Erweiterung identifiziert, die eine offizielle Solidarity-Erweiterung unterdrückt und still installiert Nutzlasten wie ScreenConnect und Back-Türen auf verschiedenen Plattformen. Diese Art von Täuschung gegen Nischengemeinden (in diesem Fall, Smart Contract-Entwickler) unterstreicht, wie Angreifer Ziele wählen, wo die Auswirkungen und das implizite Vertrauen in bestimmte Werkzeuge Infektion erleichtern können. Ihr Bericht ist verfügbar unter: Checkmarx - Bericht über bösartige Erweiterung.
Was können Teams und Entwickler jetzt tun? Zunächst ist es wichtig, anzunehmen, dass jedes verdächtige Paket, das in Projekten erkannt wird, entfernt werden sollte und dass die Anmeldeinformationen, die offengelegt werden könnten (npm tokens, GitHub Actions Secrets, CI / CD Keys) sofort gedreht werden sollten. Es wird auch empfohlen, Repositories für unerwartete Änderungen in Dateien wie Paket zu auditieren. json, sperren Sie Dateien und Workflows in .github / Workflows, und tokens, die umfangreiche Berechtigungen haben zu widerrufen. Über die unmittelbare Antwort hinaus ist es angebracht, die Kontrolle des Vertrauens in die Lieferkette zu verschärfen: Einheitsbewertungen zu verlangen, Pakete mit anerkannten und historischen Betreuern zu bevorzugen, reproduzierbare Paketsignaturen oder Verifikationen zu verwenden, soweit möglich, und das Prinzip des kleinen Privilegs in Token und Geheimnisse anzuwenden.
Sicherheitsteams sollten auch anormale Aktivitäten in GitHub-Konten und CI-Daten überwachen, automatisierte Abhängigkeitsanalysen einführen und Sandboxing für unbekannte Anlagen verwenden. Die Multifactor-Authentifizierung in Publishing-Konten und auf Hosting-Plattformen reduziert die Leichtigkeit, mit der ein Schauspieler Identitäten entführen kann, um neue bösartige Ausgaben zu veröffentlichen. Schließlich sind für Plattform- und Repository-Manager die Zusammenarbeit mit Sicherheitsdiensten und die rasche Entfernung von als schädlich bestätigten Paketen kritische Maßnahmen, um die Verbreitung zu begrenzen.
Die Umfrage von Kampagnen wie SANDWORK _ MODE bestätigt eine bereits bekannte, aber ungenutzte Lektion: moderne Werkzeugketten, einschließlich derjenigen, die AI-Assistenten und Modelle, erweitern die Angriffsfläche und erfordern eine Kombination aus Hygiene, technischer Überwachung und Sicherheitskultur unter Entwicklern. Die Socket-, JFrog-, Veracode- und Checkmarx-Forschung bietet mehr technische Details und Indikatoren für diejenigen, die sich vertiefen wollen; sie hilft ihnen, kurzfristig fundierte Entscheidungen zu kontextualisieren und zu treffen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...