FEHLER!

Warnung: Bösartige npm-Pakete stehlen Daten über raffinierte Tricks

Die Sicherheitsfirma Socket warnt vor einer schädlichen Kampagne, die bösartige Skripte in npm-Paketen verbreitet und mit der Aufklärung der Funktionsweise sowie der Gefahren dieses Angriffs wichtige Einblicke liefert. Analysten haben 60 betroffene Pakete identifiziert, die alle einen Infostealer enthalten, der Daten ausspioniert und an ein Discord-Konto der Angreifer weiterleitet. Diese Pakete stammen aus drei separaten npm-Accounts: bbbb335656, cdsfdfafd1232436437 und sdsds656565, wobei jeweils zwanzig Pakete pro Account vorhanden sind. Die weitreichende Verbreitung dieser Bedrohung zeigt sich bereits durch über 3000 Downloads insgesamt.

Das bösartige Skript in diesen Paketen lauert im sogenannten postinstall-Hook. Dieses Skript wird aktiv, sobald ein betroffenes Paket installiert wird (z. B. durch den Befehl npm install). Interessanterweise führt das Skript vor seiner eigentlichen Funktion einen Sandbox-Check durch. Dies bedeutet, dass es nur in einer nichtvirtuellen Umgebung aktiv wird, beispielsweise auf einem echten CI-Knoten oder einer Workstation, und nicht innerhalb virtueller Entwicklungsumgebungen wie Containern oder sandboxed Development Tools. Dieser Check zeigt eine gezielte Strategie des Angreifers, der Zugriff auf Systeme mit direkter Verbindung zum Netzwerk und potenziell sensible Daten erlangt.

Der Infostealer sammelt eine Vielzahl von Informationen aus dem betroffenen System und übermittelt sie an das Discord-Konto der Angreifer. Zu den gestohlenen Daten gehören unter anderem der vollständige Fingerabdruck des Systems (z. B. Namen von installierten Programmen, Systemkonfigurationen), Netzwerkdaten wie die interne und externe IP-Adresse sowie Informationen zum externen Hostnamen und zur Organisation. Zusätzlich werden Details über das installierte Paket selbst, wie Version und Name, sowie der Typ (npm) abgefangen und mitgeschickt. Umgekehrt sammelt das Skript auch Daten aus der package.json des installierten Pakets und füllt diese in den Ausspionierungsbericht ein. Diese umfassende Datenerfassung ermöglicht es den Angreifern, ein detailliertes Profil über das infizierte System und seine Umgebung zu erstellen.

Die Vorgehensweise dieses Angriffs zeigt eine raffinierte Kombination aus verdeckter Verbreitung durch scheinbar harmlose npm-Pakete und gezieltem Data Harvesting. Die Sandbox-Checks im Skript unterstreichen die Absicht, Systeme mit direktem Netzwerkzugriff zu infiltrieren und sensible Daten zu stehlen. Die Ausrichtung auf Discord als Kommunikationskanal für die gesammelten Informationen deutet auf eine organisierte Struktur und potenziell weitere, noch verdeckte Aktivitäten der Angreifer hin.

Schlagwörter: B. + npm install + Socket

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 26. Mai 2025