{"id":12686,"date":"2025-05-09T08:46:17","date_gmt":"2025-05-09T08:46:17","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/05\/09\/kompromittierung-eines-npm-pakets-wirft-fragen-zur-sicherheit-veralteter-softwarekomponenten-auf\/"},"modified":"2025-05-11T08:20:18","modified_gmt":"2025-05-11T08:20:18","slug":"kompromittierung-eines-npm-pakets-wirft-fragen-zur-sicherheit-veralteter-softwarekomponenten-auf","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=12686","title":{"rendered":"npm-Paket rand-user-agent kompromittiert"},"content":{"rendered":"<p>Ein Kompromittierungsfall eines Pakets im npm-Repository hat Sicherheitsbedenken aufgeworfen und zeigt die Risiken von veralteten Komponenten in Softwareentwicklungsprozessen auf. Das Paket rand-user-agent, obwohl als veraltet klassifiziert, wurde noch regelm\u00e4\u00dfig genutzt, mit etwa 40.000 w\u00f6chentlichen Downloads. Cyberforscher des Spezialisten f\u00fcr Supply-Chain-Security, Aikido, entdeckten modifizierte Versionen dieser Bibliothek auf npm, die einen versteckten Remote-Access-Trojaner (RAT) enthielten. Dieser Schadcode, in der Datei dist\/index.js versteckt und mehrfach verschleiert, erm\u00f6glichte eine Kommunikation mit einem Command-and-Control-Server (C2). Der Trojaner etablierte einen geheimen Kommunikationskanal, um Informationen wie Client-IDs und Betriebssystemdetails an den C2-Server zu senden. Die Funktionalit\u00e4t des RAT umfasst diverse Befehle zur Manipulation des Systems, darunter das \u00c4ndern des Arbeitsverzeichnisses, das Hochladen von Dateien sowie die Ausf\u00fchrung beliebiger Shell-Befehle \u00fcber child_process.exec(). Unter Windows ging der Angriff sogar noch einen Schritt weiter: Es wurde ein neuer Ordner unter dem Namen Python3127 im Umgebungsvariablenpfad angelegt. Dieser Name soll suggerieren, dass es sich um eine offizielle Python-Umgebung handelt und somit Schadcode als legitime Python-Tools erscheinen lassen k\u00f6nnte. Die kompromittierten Pakete mit den Versionsnummern 2.083, 2.084 und 1.0.110 wurden inzwischen von npm entfernt. Entwicklerinnen und Entwickler, die in den letzten Monaten rand-user-agent verwendet haben, sollten ihre Systeme auf Anzeichen des Schadcodes oder Kommunikation mit dem C2-Server \u00fcberpr\u00fcfen und gegebenenfalls entsprechende Ma\u00dfnahmen ergreifen, um Sicherheitsl\u00fccken zu schlie\u00dfen. <\/p>\n<p>Schlagw\u00f6rter: npm + Supply-Chain-Security + Aikido<br \/>(pz)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ein Kompromittierungsfall eines Pakets im npm-Repository hat Sicherheitsbedenken aufgeworfen und zeigt die Risiken von veralteten Komponenten in Softwareentwicklungsprozessen auf. Das Paket rand-user-agent, obwohl als veraltet klassifiziert, wurde noch regelm\u00e4\u00dfig genutzt, mit etwa 40.000 w\u00f6chentlichen Downloads. Cyberforscher des Spezialisten f\u00fcr Supply-Chain-Security, Aikido, entdeckten modifizierte Versionen dieser Bibliothek auf npm, die einen&#46;&#46;&#46;<\/p>\n","protected":false},"author":6,"featured_media":12685,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-12686","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12686","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12686"}],"version-history":[{"count":3,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12686\/revisions"}],"predecessor-version":[{"id":12716,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12686\/revisions\/12716"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/12685"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12686"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12686"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12686"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}