Die JavaScript-Community wurde erneut Opfer eines Supply-Chain-Angriffs, bei dem der HTTP-Client axios betroffen war. Hinter diesem Angriff, der am 30. M\u00e4rz stattfand und bei dem Angreifer den Account des Maintainers von axios \u00fcbernommen hatten, vermutet man die nordkoreanische Gruppe UNC1069. Eine sch\u00e4dliche Version (1.14.1) wurde auf npm ver\u00f6ffentlicht und enthielt eine versteckte Dependency namens plain-crypto-js@4.2.1. Dieser Trojaner w\u00fcrde im sogenannten postinstall-Hook ausgef\u00fchrt, was bedeutet, dass er automatisch nach der Installation von axios aktiv wird. Der Hook startet ein Skript (setup.js), das je nach Betriebssystem unterschiedlich agiert: Windows (PowerShell-Skript), macOS (Mach-O-Binary) und Linux (Python-Backdoor). Zur Tarnung setzten die Angreifer verschiedene Schutzmechanismen ein; zum Beispiel manipuliert das Skript setup.js seinen eigenen Code zur Verhinderung von Detektion durch Tools. Zus\u00e4tzlich wurde WAVESHAPER.V2 als Remote-Access-Trojaner eingesetzt, der Kontakt zu einem Command & Control (C2)-Server aufnimmt und Befehle empf\u00e4ngt. Diese reichen von der Ausf\u00fchrung weiterer Skripte oder Executables bis hin zur Abfrage von Informationen \u00fcber Dateien und Verzeichnisse. Der Befehl codekill signalisiert das Ende der Ausf\u00fchrung. Die Verbindung zu den C2-Servern (IP-Adressen: 142.11.206.73 oder 23.254.167.216) dient als Indikator f\u00fcr einen Angriff. Aufgrund der Verbindung von WAVESHAPER.V2 zum urspr\u00fcnglichen WAVESHAPER, dem UNC1069 zugeschrieben wird, vermutet Google Threat Intelligence die Beteiligung dieser Gruppe auch bei diesem axios-Angriff. Entwicklern wird dringend empfohlen, installierte Axios-Versionen auf 1.14.1 oder 0.30.4 zu \u00fcberpr\u00fcfen und automatische Systeme an feste Versionen zu binden, um zuk\u00fcnftige Manipulationen zu vermeiden. Dieser Vorfall betont die Bedeutung von Sicherheitsbewusstsein und Sorgfalt bei der Verwaltung von Open-Source-Bibliotheken.<\/p>\n
Schlagw\u00f6rter: UNC1069 + setup.js + JavaScript-Community<\/p>\n","protected":false},"excerpt":{"rendered":"
Die JavaScript-Community wurde erneut Opfer eines Supply-Chain-Angriffs, bei dem der HTTP-Client axios betroffen war. Hinter diesem Angriff, der am 30. M\u00e4rz stattfand und bei dem Angreifer den Account des Maintainers von axios \u00fcbernommen hatten, vermutet man die nordkoreanische Gruppe UNC1069. Eine sch\u00e4dliche Version (1.14.1) wurde auf npm ver\u00f6ffentlicht und enthielt...<\/p>\n","protected":false},"author":4,"featured_media":16172,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-16173","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/16173","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=16173"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/16173\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/16172"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=16173"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=16173"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=16173"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}