{"id":12897,"date":"2025-05-26T10:39:36","date_gmt":"2025-05-26T10:39:36","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/05\/26\/warnung-boesartige-npm-pakete-stehlen-daten-ueber-raffinierte-tricks\/"},"modified":"2025-05-26T10:39:36","modified_gmt":"2025-05-26T10:39:36","slug":"warnung-boesartige-npm-pakete-stehlen-daten-ueber-raffinierte-tricks","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=12897","title":{"rendered":"Warnung: B\u00f6sartige npm-Pakete stehlen Daten \u00fcber raffinierte Tricks"},"content":{"rendered":"<p>Die Sicherheitsfirma Socket warnt vor einer sch\u00e4dlichen Kampagne, die b\u00f6sartige Skripte in npm-Paketen verbreitet und mit der Aufkl\u00e4rung der Funktionsweise sowie der Gefahren dieses Angriffs wichtige Einblicke liefert. Analysten haben 60 betroffene Pakete identifiziert, die alle einen Infostealer enthalten, der Daten ausspioniert und an ein Discord-Konto der Angreifer weiterleitet. Diese Pakete stammen aus drei separaten npm-Accounts: bbbb335656, cdsfdfafd1232436437 und sdsds656565, wobei jeweils zwanzig Pakete pro Account vorhanden sind. Die weitreichende Verbreitung dieser Bedrohung zeigt sich bereits durch \u00fcber 3000 Downloads insgesamt. <\/p>\n<p>Das b\u00f6sartige Skript in diesen Paketen lauert im sogenannten postinstall-Hook. Dieses Skript wird aktiv, sobald ein betroffenes Paket installiert wird (z. B. durch den Befehl npm install). Interessanterweise f\u00fchrt das Skript vor seiner eigentlichen Funktion einen Sandbox-Check durch. Dies bedeutet, dass es nur in einer nichtvirtuellen Umgebung aktiv wird, beispielsweise auf einem echten CI-Knoten oder einer Workstation, und nicht innerhalb virtueller Entwicklungsumgebungen wie Containern oder sandboxed Development Tools. Dieser Check zeigt eine gezielte Strategie des Angreifers, der Zugriff auf Systeme mit direkter Verbindung zum Netzwerk und potenziell sensible Daten erlangt. <\/p>\n<p>Der Infostealer sammelt eine Vielzahl von Informationen aus dem betroffenen System und \u00fcbermittelt sie an das Discord-Konto der Angreifer. Zu den gestohlenen Daten geh\u00f6ren unter anderem der vollst\u00e4ndige Fingerabdruck des Systems (z. B. Namen von installierten Programmen, Systemkonfigurationen), Netzwerkdaten wie die interne und externe IP-Adresse sowie Informationen zum externen Hostnamen und zur Organisation. Zus\u00e4tzlich werden Details \u00fcber das installierte Paket selbst, wie Version und Name, sowie der Typ (npm) abgefangen und mitgeschickt. Umgekehrt sammelt das Skript auch Daten aus der package.json des installierten Pakets und f\u00fcllt diese in den Ausspionierungsbericht ein. Diese umfassende Datenerfassung erm\u00f6glicht es den Angreifern, ein detailliertes Profil \u00fcber das infizierte System und seine Umgebung zu erstellen. <\/p>\n<p>Die Vorgehensweise dieses Angriffs zeigt eine raffinierte Kombination aus verdeckter Verbreitung durch scheinbar harmlose npm-Pakete und gezieltem Data Harvesting. Die Sandbox-Checks im Skript unterstreichen die Absicht, Systeme mit direktem Netzwerkzugriff zu infiltrieren und sensible Daten zu stehlen. Die Ausrichtung auf Discord als Kommunikationskanal f\u00fcr die gesammelten Informationen deutet auf eine organisierte Struktur und potenziell weitere, noch verdeckte Aktivit\u00e4ten der Angreifer hin.<\/p>\n<p>Schlagw\u00f6rter: B. + npm install + Socket<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Sicherheitsfirma Socket warnt vor einer sch\u00e4dlichen Kampagne, die b\u00f6sartige Skripte in npm-Paketen verbreitet und mit der Aufkl\u00e4rung der Funktionsweise sowie der Gefahren dieses Angriffs wichtige Einblicke liefert. Analysten haben 60 betroffene Pakete identifiziert, die alle einen Infostealer enthalten, der Daten ausspioniert und an ein Discord-Konto der Angreifer weiterleitet. Diese&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":12896,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-12897","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12897","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12897"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12897\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/12896"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12897"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12897"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12897"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}