{"id":14127,"date":"2025-08-29T09:54:21","date_gmt":"2025-08-29T09:54:21","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/08\/29\/ernstzunehmende-bedrohung-fuer-javascript-entwickler-malware-im-npm-repository-entdeckt\/"},"modified":"2025-09-03T10:35:46","modified_gmt":"2025-09-03T10:35:46","slug":"ernstzunehmende-bedrohung-fuer-javascript-entwickler-malware-im-npm-repository-entdeckt","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=14127","title":{"rendered":"Ernstzunehmende Bedrohung f\u00fcr JavaScript-Entwickler: Malware im npm-Repository entdeckt"},"content":{"rendered":"<p>Das Security Research Team von JFrog hat eine ernstzunehmende Bedrohung f\u00fcr die Open-Source-Software-Lieferkette im npm-Repository entdeckt, einem zentralen Punkt f\u00fcr JavaScript-Komponenten, den Millionen von Entwicklern weltweit nutzen. Acht b\u00f6sartige Pakete, darunter Namen wie react-sxt, react-typex und react-native-control, wurden mit hochkomplexer Verschleierungslogik infiltriert. \u00dcber 70 versteckte Code-Schichten erm\u00f6glichten es Angreifern, sch\u00e4dliche Payloads auf Entwicklercomputern auszuf\u00fchren, ohne dass der Nutzer selbst interagierte. Die finale Zielsetzung dieser Malware richtete sich explizit an Windows-Benutzer des Chrome-Browsers. <\/p>\n<p>Die dahinterstehende Bedrohung verfolgte verschiedene Angriffszielgruppen und -strategien. Mittels Datendiebstahl sollten sensible Informationen wie Passw\u00f6rter, Kreditkartendaten, Cookies sowie Kryptow\u00e4hrungs-Wallet-Details aus allen Benutzerprofilen im Chrome-Browser extrahiert werden. Um die Erkennung durch Sicherheitsma\u00dfnahmen zu umgehen, wurden komplexe Techniken eingesetzt: Schattenkopie-Umgehung, Identit\u00e4tsdiebstahl \u00fcber LSASS (Local Security Authority Subsystem Service), diverse Datenbankzugriffsmethoden und \u00dcberbr\u00fcckung von Dateisperren. Die gestohlenen Daten sollten anschlie\u00dfend auf Servern unter Kontrolle der Angreifer hochgeladen werden, einschlie\u00dflich Infrastruktur, die von der Plattform Railway gehostet wird. <\/p>\n<p>JFrog hat umgehend seine Erkenntnisse an npm weitergegeben, wodurch die b\u00f6sartigen Pakete entfernt wurden. Dar\u00fcber hinaus wurde das Tool JFrog Xray aktualisiert, um diese spezifische Bedrohung zu adressieren. Entwickler, die diese betroffenen Pakete im Vorfeld heruntergeladen oder integriert hatten, sollten nun ihre Anmeldedaten \u00fcberpr\u00fcfen und potenziell \u00e4ndern sowie ihre Systeme auf verd\u00e4chtige Aktivit\u00e4ten scannen. Gleichzeitig wird betont, dass die Implementierung automatisierter Sicherheitsma\u00dfnahmen in der Software-Lieferkette f\u00fcr zuk\u00fcnftige Schutzvorkehrungen unerl\u00e4sslich ist.<\/p>\n<p>Schlagw\u00f6rter: JFrog + react-sxt + react-typex<br \/>(pz)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das Security Research Team von JFrog hat eine ernstzunehmende Bedrohung f\u00fcr die Open-Source-Software-Lieferkette im npm-Repository entdeckt, einem zentralen Punkt f\u00fcr JavaScript-Komponenten, den Millionen von Entwicklern weltweit nutzen. Acht b\u00f6sartige Pakete, darunter Namen wie react-sxt, react-typex und react-native-control, wurden mit hochkomplexer Verschleierungslogik infiltriert. \u00dcber 70 versteckte Code-Schichten erm\u00f6glichten es Angreifern, sch\u00e4dliche&#46;&#46;&#46;<\/p>\n","protected":false},"author":6,"featured_media":14126,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14127","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14127","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14127"}],"version-history":[{"count":1,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14127\/revisions"}],"predecessor-version":[{"id":14180,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14127\/revisions\/14180"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/14126"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14127"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14127"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14127"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}