Gefilterte Kopie von Malware bekannt als Shai-Hulud Er hat bereits vom öffentlichen Repository ins reale Leben gesprungen: Sicherheitsforscher haben bösartige Pakete gefunden, die in der npm-Datensatz mit Code veröffentlicht wurden, um Anmeldeinformationen, Geheimnisse und Daten von kryptographischen Geldbörsen zu stehlen, und in einem Fall die infizierte Maschine in einen Agenten für DDoS-Angriffe verwandeln.
Der von den Angreifern verwendete Mechanismus kombiniert alte aber effektive Techniken: Typosquating (Namen ähnlich wie legitime Pakete), um versehentliche Downloads und Umverpackung von gefiltertem Code ohne sogar Obuscarso anzuziehen. Dies erleichtert die Anerkennung durch andere Kriminelle und reduziert wiederum die Notwendigkeit fortgeschrittener Fähigkeiten zur Bereitstellung von Massenexfiltrationskampagnen.
Das reale Risiko ist hier nicht nur die Anzahl der Downloads, die in einer bestimmten Partie reduziert werden können, sondern die Auswirkungen auf die Lieferketten: ein Entwickler, der eine kompromittierte Abhängigkeit in einer Bauumgebung oder CI enthält, kann Schlüssel mit Publikationsgenehmigungen, APIs oder Tokens freisetzen, die dann automatisch in öffentlichen Repositorien veröffentlicht werden, die vom Angreifer kontrolliert werden. Dieses "automatische Veröffentlichungsverhalten" verstärkt die Lücke, indem gestohlene Geheimnisse in zugängliche und nachvollziehbare Informationen umgewandelt werden.
Aus betrieblicher Sicht kombinieren schädliche Pakete zwei Arten von Bedrohung. Auf der einen Seite, Informationen Diebstahl-Funktionen, die Verzeichnisse, Konfigurationsdateien und Prozesse erkunden, um Anmeldeinformationen zu extrahieren. Auf der anderen Seite, Module, die Angriffsfunktionen implementieren: HTTP Sättigung, TCP / UDP Überschwemmungen und TCP setzt zurück, um ein Bots-Netzwerk zu bilden. Die Koexistenz beider Funktionalitäten verwandelt einen Vorfall der Flucht von Geheimnissen in eine Plattform für kontinuierliche Offensive Aktionen.
Wenn Sie Projekte verwalten, die npm verwenden, ist die erste Priorität, davon auszugehen, dass eine unverified Abhängigkeit ein Vektor sein kann. Sie müssen sofort jedes verdächtige Paket entfernen, die zugehörigen Anmeldeinformationen und Token widerrufen und drehen und überprüfen, ob Ihre Systeme Artefakte oder Geheimnisse auf öffentliche Repositorien hochgeladen haben. Es ist auch zweckmäßig, die von den Forschern identifizierten Befehls- und Kontrolldomänen und Hosts proaktiv zu blockieren, um die Exfiltration zu begrenzen.
Suchen Sie nach Node-Prozessen, ungewöhnlichen ausgehenden Verbindungen und selbst erstellten Repositories in GitHub, die Dateien mit Anmeldenamen enthalten. Independencies Analyse-Tools und Code-Geheim-Scannen sind nützlich, aber nicht unfehlbar: es fügt Kontrollen an Ihren Pipelines, die die Ausführung von Postinstall-Drittanbieter-Skripten ohne Zustimmung verhindern und verwendet weiße Listenrichtlinien für kritische Pakete.
Um die Angriffsfläche nachhaltig zu reduzieren, ist es unerlässlich, minimale Privilegien auf Token und Schlüssel anzuwenden, Multifaktor-Authentifizierung in kritischen Konten zu aktivieren und automatische Rotationsmechanismen zu verwenden. Es wird auch empfohlen, die Signaturversion und die Verifikationsschlösser soweit möglich zu verwenden, und Ihre CI / CD-Telemetrie zu bereichern, um Paketanlagen in ungeplanten Phasen zu erkennen.
Die Community und Plattformen haben Verantwortung: öffentliche Repositories müssen die Mechanismen zur automatischen Erkennung von Typosquatting-Mustern und Exfilter-Verhalten verbessern, und Betreuer müssen Verfahren für die Verwaltung von Abhängigkeitsfällen dokumentieren. Inzwischen müssen Entwicklerteams unter der Voraussetzung arbeiten, dass Software von Drittanbietern ein Risiko ist, das mit zusätzlichen Kontrollschichten gemildert werden sollte.
Wenn Sie die technische Analyse lesen möchten, die diese Empfehlungen motiviert, werden die Ergebnisse der Forscher im Sicherheitsblog veröffentlicht, der die schädlichen Belastungen erkannte: OXsecurity - Bericht Shai-Hulud. Für einen praktischen Leitfaden über bewährte Sicherheitspraktiken bei Verwendung von npm siehe amtliche Dokumentation: NPM - Sicherheit und gute Praxis.
Die Lektion ist klar: bösartige Code Lecks bleiben nicht auf Papier. Sie replizieren und integrieren in Entwicklungsökosysteme, die von Tausenden von Paketen abhängen. Die einzige wirksame Verteidigung vereint die Hygiene der Anmeldeinformationen, die strenge Kontrolle der Abhängigkeiten und die kontinuierliche Sichtbarkeit des Geschehens in Ihren Bau- und Produktionsumgebungen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...