Cybersecurity-Forscher haben den Alarm für eine koordinierte Kampagne erhöht, die öffentliche Paket-Repositories - npm und PyPI - als Vektor verwendet, um Entwickler und Job-Kandidaten im kritischen Sektor zu engagieren. Der Agent unter dem Codenamen Stapalgo, verwendet eine Taktik, die Social Engineering und Supply-Chain-Vergiftung kombiniert: Stellenangebote, Profile und anscheinend legitime technische Bewertungs-Repositorien werden so erstellt, dass diejenigen, die End-up-Projekte anwenden, die von schädlichen Paketen in öffentlichen Aufzeichnungen enthalten sind.
Laut der von ReversingLabs veröffentlichten Analyse startete die Kampagne rund um den Mai 2025 und ist mit einem Schauspieler mit Verbindungen zu Nordkorea, der als Lazarus-Gruppe bekannt ist, verbunden. Die Angreifer montieren alle Choreographie, die notwendig ist, um glaubwürdig zu erscheinen: sie schaffen fiktive Unternehmen konzentriert auf Blockchain und Kryptomoneda Handel, Register-Domains, verwalten Organisationen in GitHub und veröffentlichen angebliche technische Übungen. In vielen Fällen kontaktieren sie die Kandidaten von LinkedIn oder von Facebook und Reddit Gruppen, um sie an den Auswahlprozessen zu beteiligen. Hier können Sie den ReversingLabs-Bericht lesen: Umkehrung Labs - Fake Rekrutierungskampagne.
Der Trick ist an dem Punkt, an dem der Kandidat klont und führt das Bewertungs-Repository: Diese Projekte enthalten nicht offensichtlich bösartigen Code, aber sie hängen von Paketen in npm oder PyPI veröffentlicht, die sind. Wenn der Entwickler Abhängigkeiten installiert, endet er mit ihm ein Remote Access Trojan (RAT), das mit einem Befehl und Steuerserver (C2) registriert ist. Die implementierte Malware ermöglicht es Ihnen, Systeminformationen, Listendateien zu sammeln, Prozesse zu verwalten, bewegen und Exfilter-Dateien, und sogar überprüfen Sie die Anwesenheit von Billet Erweiterungen wie MetaMask - ein Hinweis, dass das ultimative Ziel umfasst die Entfernung von Kryptomoneda-bezogenen Vermögenswerten und Anmeldeinformationen.
Ein markanter technischer Aspekt dieser RAT ist der Kommunikationsmechanismus mit der C2: Erst sendet sie im Rahmen eines Registrierungsschritts Systemdaten und erhält im Gegenzug einen Token. Dieses Token schützt nachfolgende Anfragen, so dass nur registrierte und autorisierte Kunden Befehle austauschen können. Umkehrung Labs weist darauf hin, dass diese Tokenisierungstechnik bei schädlichen Paketen, die auf öffentliche Repositories hochgeladen werden, nicht üblich ist und mit Taktiken zusammenfällt, die in früheren Kampagnen beobachtet wurden, die den nordkoreanischen Gruppen zugeschrieben wurden, wie z.B. der Familie Jade Sleet / UNC4899.
Es ist kein isoliertes Phänomen innerhalb des npm-Ökosystems. JFrog beschreibt eine weitere anspruchsvolle Bedrohung in einem Paket namens "dori-js" mit einem Info-Stealer bekannt als Bada Stealer. Diese Malware ist in der Lage, Token von Discord, Anmeldeinformationen, Cookies und selbstvervollständigte Browser-Daten auf der Grundlage von Chromium, sowie Informationen von cryptomonedas zu extrahieren und diese Daten durch einen Discord Webhold und die Speicherung in Drittanbieter-Diensten zu löschen. Darüber hinaus wird die Sekundärlast dieses Pakets gepfropft, um im Beginn der Discord Desktop-Anwendung zu bestehen, unter Ausnutzung der Electron-Umgebung, nach JFrogs Analyse: JFrog Research - dorm- js.
Parallel wurde eine andere Kampagne erkannt, die den Installationsfluss selbst missbraucht: XPACK ATTACK von OpenSource benannt Malware, diese Technik blockiert die Installation, indem der Entwickler glauben, dass er einen legitimen Paywalkway erreicht hat, mit dem HTTP 402 ("Payment Required") Statuscode als Subterfuge. Die Installation wird unterbrochen, bis das Opfer eine kleine Summe in Kryptomoneda zahlt; wenn es nicht bezahlt, scheitert der Prozess einfach nach dem Verzehr von wertvollen Minuten des Entwicklers, während der Angreifer sammelt Spuren des Geräts und GitHub Benutzernamen. Weitere technische Informationen zu dieser Kampagne finden Sie im OpenSourceMalware-Bericht und in der Erklärung des 402 Codes in MDN: OpenSource und MDN - HTTP 402.
Diese Vorfälle erinnern daran, dass die Entwicklungssicherheit nicht mehr auf ihren eigenen Code beschränkt ist: Drittanbieter-Einheiten und Rekrutierungsarbeitsabläufe können direkte Vektoren für komplexe und gezielte Intrusionen sein. Wenn das Ziel ein Profi des kritischen Ökosystems ist, geht das Interesse des Angreifers oft über die technische Spionage hinaus und richtet sich auch auf den direkten Gewinn durch den Diebstahl von Anmeldeinformationen und Geldern. Die Forscher betonen die Modularität und Geduld dieser Akteure: Sie bauen Vertrauen für Wochen oder Monate, verwenden mehrere Fronten und verschlüsseln ihre Komponenten, um die Analyse schwierig zu machen.
Was können Entwickler und Sicherheitsbeamte tun? Eine kritische Einstellung zu neu veröffentlichten Repositorien und Paketen sollte beibehalten werden, insbesondere wenn sie im Rahmen von technischen Tests oder Auswahlverfahren auftreten. Unit-Analyse-Tools, Paket-Signaturen, Lock-Datei-Version Blockierung, Laufen in isolierten Umgebungen (virtuelle Maschinen, Container oder Sandboxen) und Betreuer-Review sind Praktiken, die das Risiko des Laufens von schädlichen Code reduzieren. Es ist auch nützlich, automatische Geräte-Scannen in die CI / CD-Kette zu integrieren und die Sicherheitsfunktionen der Platten selbst zu verstehen; PyPI und npm haben Dokumentations- und Sicherheitsmechanismen, die bekannt sein sollten: PyPI - Sicherheit und npm - Docs. GitHub hat ihrerseits Anleitungen und Werkzeuge zum Schutz der Software-Versorgungskette entwickelt: GitHub - Supply Chain Security.
Die umfangreichste Lehre ist institutionellen: Die Open Source Community- und Paketplattformen müssen weiterhin die Kontrollen verbessern, um Akteure zu erkennen und zu blockieren, die versuchen, das Ökosystem zu missbrauchen. Gleichzeitig müssen legitime Unternehmen und Rekrutierer Praktiken zur Überprüfung von Identitäten und Auswahlprozessen annehmen, so dass Kandidaten und Entwickler nicht die laufenden Artefakte in Produktionsumgebungen von ihren persönlichen Maschinen beenden. Mittlerweile bleiben die Vorsicht und die strikte Trennung zwischen Arbeits- und Testumgebungen die erste Verteidigungslinie gegen Kampagnen, die Social Engineering mit zunehmend anspruchsvoller Malware kombinieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...