Heute sehen wir, wie Software-Sicherheit mit Social Engineering und organisierte Kriminalität Wirtschaft getroffen wird: Forscher haben einen Burst von schädlichen Paketen entdeckt, die in der npm-Record veröffentlicht, dass, verkleidet als legitime Dienstprogramme und Buchhandlungen, gehen Sie zu stehlen Anmeldeinformationen und Kryptomoneda-Portfolios von nicht erwarteten Entwicklern und Administratoren.
Der Ursprung der Erkennung stammt aus einer detaillierten Analyse, die eine mehrstufige Kampagne beschreibt: Die erforschten Buchhandlungen zeigen während der Installation, was authentische npm-Logs zu sein scheint und zufällige Verzögerungen hinzuzufügen, um echte Downloads zu simulieren, bis sie Nachrichten springen, die fehlende Schreibgenehmigungen in / usr / local / lib / node _ Module. Diese Mitteilung wird als Vorwand verwendet, um den Administrator oder das Root-Passwort anzufordern. Wenn der Benutzer es eingibt, ist der nächste Schritt still: ein Download, der Kanäle in Telegram kontaktiert, um die URL der letzten Nutzlast und den Schlüssel zu entschlüsseln. Das Ergebnis ist die Lieferung eines Remote Access Trojan (RAT) oder eines Stealers, der empfindliche Daten exfiltrieren kann, einschließlich Browser-Anmeldeinformationen, SSH-Tasten, Cloud-Lieferantenkonfigurationen und Kryptomoneda-Münzen.
ReversingLabs war eine der Unterschriften, die diese Methodik dokumentierte und im Rahmen der Kampagne, die sie verfolgen, in seinem Bericht taufte. Sie können Ihre technische Analyse im Detail auf Ihrem Blog lesen: ReversingLabs - npm fake install log RAT. Parallel dazu haben andere öffentliche Untersuchungen in GitHub-Repositorien sehr ähnliche Muster gefunden, die zunächst als harmlose Projekte wirken und nach einem gewissen Ruf schädliche Installationsskripte einführen, die die Infektionskette auslösen. Jamf Threat Labs hat eine Aufschlüsselung veröffentlicht, die zeigt, wie diese Repositories sogar auf IA-orientierten Workflows basieren, um legitim zu sein: Jamf - GhostClaw & Ghost Laderanalyse.
Ein besonders besorgniserregender Aspekt ist die Geduld des Angreifers: scheinbar gutartiger Code zu veröffentlichen, "Sterne" und Aktivität zu akkumulieren, um Vertrauen aufzubauen und dann ein LEADME zu aktualisieren oder hinzuzufügen, das zur Ausführung eines Skripts auf dem Entwicklerteam führt. In einigen Fällen umfasst der Installer eine Umgebungsvariable, die es ermöglicht, zwischen einer kompletten Installationsschnittstelle - mit Fortschrittsleisten und Benutzerfragen - und einem minimalistischen Modus zu wechseln, der nur Anmeldeinformationen erfasst. Dieser Grad der Raffinesse zeigt, dass es nicht improvisierte Skripte ist, sondern eine geplante Operation, um die Wahrscheinlichkeit der Täuschung zu maximieren.
Die in den Berichten gesehen schädlichen Stücke schlugen gemeinsame Tools und SDKs vor: von React-Optimierungsprogramme bis hin zu angeblichen Trading-Bots und macOS-Dienstprogramme, mit Namen, die versuchten, Vertrauen oder thematische Relevanz unter Entwicklern zu nutzen. Potenzielle Opfer sind angewiesen, Befehle auszuführen, die hohe Privilegien erfordern; dieser Moment ist kritisch, weil er es der Angriffskette ermöglicht, Komponenten mit ausreichenden Genehmigungen zu pflanzen, um geschützte Daten zuzugreifen und in der Maschine zu bestehen.
Die Exfiltration von Informationen zeigt auch betriebliche Ingenuität: In einigen Fällen werden die gestohlenen Daten an Telegram Bots gesendet, die mit verschiedenen "Partnern" verbunden sind, entsprechend einer Kampagnenkennung, und Monetarisierung wird durch Adressaten von in intelligenten Verträgen von Binance Smart Chain gespeicherten Affiliate abgeschlossen, so dass der bösartige Schauspieler Routen aktualisieren und monetarisieren kann, ohne den verteilten Malware-Code zu berühren. Eine Analyse, die diese kriminelle Wirtschaft vertieft, erschien auf Panthers Blog: Panther - Phantom Menace: Ghost Loader infostealer Kampagne.
Welche Lehren lässt dies für diejenigen, die mit Node.js, Code Repositories und modernen Workflows arbeiten? Das erste ist, dass das Standardvertrauen in der Lieferkette nicht mehr sicher ist. Führen Sie vorgeschlagene Skripte auf einem README aus oder geben Sie sudo ein, um "das System zu optimieren" sollte sofort die Alarme aktivieren. Stattdessen ist es angebracht, genau zu prüfen, was die Installationsskripte (die Postinstall-Skripte in package.json) laufen, die Aktivität und die Geschichte des Betreuers überprüfen, und Tools bevorzugen, die keine Systemprivilegien für globale Installationen erhöhen müssen. Nodes offizielle Dokumentation über Paketmanager und die Empfehlung, Versionsmanager als nvm zu verwenden, um globale Sudo-Einrichtungen zu vermeiden, ist eine nützliche Ressource, um die Angriffsfläche zu reduzieren: nvm (Node Version Manager) und Node.js-Führungen zu sicheren Einrichtungen sind gute Ausgangspunkte.
Darüber hinaus sollten Teams den Prozess der Integration von Einheiten mit automatisierten Überprüfungen und Kontrollen stärken: Überprüfungspakete, die Postinstallationsskripte ausführen, Auditänderungen in Repositories, die als Einheitsquellen verwendet werden, und Bereitstellungsketten-Sicherheitstools wie solche, die Community-Initiativen und Code-Plattformen vorschlagen. GitHub Security Lab und OpenSSF bieten Führungs- und Risikominderungsressourcen in der Supply Chain Software: GitHub Sicherheitslabor und OpenSSF.
Wenn Sie denken, dass Sie betroffen sind, handeln Sie vorsichtig: ändern Sie kompromittierte Passwörter und Schlüssel, überprüfen Sie ausgehende Prozesse und Verbindungen von der betroffenen Maschine, und, wenn es ein Konto mit Zugriff auf Repositories oder Infrastruktur, brechen Sie die Anmeldeinformationen und Token. Die Meldung von schädlichen Paketen an das Sicherheitsteam npm und an die Plattformen, in denen die Repositories untergebracht wurden, hilft, die Verbreitung zu reduzieren; npm hat Kanäle, um Missbrauch und Schwachstellen in veröffentlichten Paketen zu melden.
Letztlich zeigt die Kampagne, dass die Angreifer ihre Taktik an das Entwicklungs-Ökosystem anpassen: sie kombinieren Sozialtechnik, Missbrauch von legitimen Plattformen wie npm und GitHub und moderne Kontrollkanäle wie Telegram, um eine komplette Kette von Angriffen aufzubauen. Die Verteidigung erfordert nicht nur automatische Werkzeuge, sondern auch klare Vorsicht und Prozesse bei der Installation von Software und Privilegien. Informiert zu halten und einfache Gewohnheiten anzuwenden - nicht Skripte aus nicht verifizierten Quellen zu führen, unnötige Sudo zu vermeiden und Abhängigkeiten zu prüfen - reduziert das Risiko, das nächste Opfer zu werden.
Um technische Informationen zu erweitern und die vollständigen Ergebnisse zu sehen, überprüfen Sie die oben genannten Berichte von ReversingLabs, Jamf und Panther, die die Installations-, Beharrlichkeits- und Exfiltrationsphasen dieser Kampagnen enthüllen: ReversingLabs, Ja und Panther.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...