Microsoft Threat Intelligence hat zwei kompromittierte npm-Pakete entdeckt, die einen Remote-Access-Trojaner (RAT)-Schadcode verteilen und auf Entwickler sowie Krypto-Nutzer abzielen. Die bösartigen Pakete, identifiziert als utils-terminal@3.2.1 und logger-active@3.2.1, stehlen Tastatureingaben, Screenshots und Zugangsdaten von Krypto-Wallets von infizierten Systemen. Angreifer nutzten Hugging-Face-Repositories, um gestohlene Informationen zu exfiltrieren, wodurch die Erkennung für Sicherheitsteams erschwert wird. Die Kampagne richtet sich an Entwickler-Arbeitsstationen mit browserbasierten Krypto-Wallets, Private Keys, Exchange-API-Zugangsdaten sowie Cloud-Service-Zugangsdaten. Diese Entdeckung ist Teil laufender Risiken in der Software-Lieferkette, die Entwickler und Krypto-Nutzer betreffen, die sensible Assets auf Entwicklungssystemen speichern.
Microsoft Identifiziert bösartige npm-Pakete, die RAT-Schadcode verteilen
Microsoft warnte, dass Cyberkriminelle Entwickler und Krypto-Nutzer über bösartige Software ins Visier nehmen, die in öffentlichen npm-Paketen versteckt ist. Laut Microsoft Threat Intelligence wurden zwei kompromittierte npm-Pakete, identifiziert als utils-terminal@3.2.1 und logger-active@3.2.1, entdeckt, die einen Remote-Access-Trojaner (RAT) ausliefern können, der in der Lage ist, sensible Informationen von infizierten Systemen zu stehlen.
Die bösartigen Pakete sollen Berichten zufolge darauf ausgelegt gewesen sein, eine Vielzahl von Daten zu sammeln, darunter Tastatureingaben, Screenshots, Zugangsdaten von Krypto-Wallets sowie weitere vertrauliche Informationen. Da npm zu den am weitesten verbreiteten Software-Registries für JavaScript-Entwickler gehört, besteht das Potenzial, dass eine große Zahl von Nutzern betroffen ist, die unwissentlich kompromittierte Abhängigkeiten installieren, während sie Anwendungen oder Web-Services entwickeln.
Angreifer leiten gestohlene Daten über die Hugging-Face-Plattform weiter
Microsoft erklärte, dass die Angreifer Hugging Face, eine beliebte Plattform für Projekte der künstlichen Intelligenz und des Machine Learnings, in ihren Prozess zur Datenexfiltration einsetzten. Indem sie gestohlene Informationen über eine vertrauenswürdige Plattform umleiteten, könnte die bösartige Aktivität weniger verdächtig wirken als die Kommunikation mit traditionellen Command-and-Control-Servern, wodurch die Erkennung für Sicherheitsteams erschwert wird.
Malware zielt auf Krypto-Wallets und Entwickler-Zugangsdaten
Die Bedrohung ist besonders besorgniserregend für Krypto-Entwickler und Investoren. Entwickler-Arbeitsstationen enthalten häufig browserbasierte Krypto-Wallets, Private Keys, Backup-Kopien der Seed-Phrase, Exchange-API-Zugangsdaten, GitHub-Zugriffstokens sowie Zugangsdaten für Cloud-Dienste. Wenn Angreifer Zugriff auf diese Assets erlangen, könnten sie potenziell Krypto-Bestände, Entwicklungsumgebungen, Handelssysteme und Quellcode-Repositories kompromittieren.
Kampagne knüpft an frühere Supply-Chain-Angriffe an
Michaels Erkenntnisse passen zudem zu einem Trend von Angriffen, die Software-Lieferketten ins Visier nehmen. Im Mai entdeckten Sicherheitsexperten die Malware-Kampagne TrapDoor, die sich über dutzende bösartige Pakete in npm, PyPI und Rust-Repositories verbreitete. Diese Operation zielte speziell auf Krypto- und KI-Entwickler ab, indem versucht wurde, Wallet-Daten, Cloud-Zugangsdaten, API-Keys und SSH-Zugriff zu stehlen.
Die neueste Warnung folgt außerdem auf einen weiteren aktuellen Bericht von Microsoft zu einer Kryptojacking-Malware. In jener Kampagne sollen Angreifer vergiftete Suchergebnisse genutzt und Interaktionen mit einem KI-Chatbot manipuliert haben, um Nutzer zu gefälschten Software-Downloads zu lenken. Nach der Installation nutzten die bösartigen Programme Systemressourcen, um Kryptowährung zu schürfen, ohne dass die Opfer davon Kenntnis hatten.
Sicherheitsexperten empfehlen Credential-Rotation und Paket-Überprüfung
Sicherheitsexperten empfehlen, dass Entwickler neu installierte Pakete sorgfältig prüfen, verdächtige Abhängigkeiten entfernen, potenziell offengelegte Zugangsdaten rotieren und die Wallet-Aktivität auf nicht autorisierte Transaktionen überwachen. Krypto-Nutzer wird außerdem geraten, Seed-Phrases nicht auf internetfähigen Geräten zu speichern und vor der Freigabe jede Wallet-Transaktion gründlich zu verifizieren.
FAQ
Welche bösartigen npm-Pakete hat Microsoft entdeckt?
Microsoft Threat Intelligence identifizierte zwei kompromittierte npm-Pakete: utils-terminal@3.2.1 und logger-active@3.2.1. Diese Pakete verteilen einen Remote-Access-Trojaner-Schadcode, der in der Lage ist, Tastatureingaben, Screenshots, Zugangsdaten von Krypto-Wallets und andere vertrauliche Informationen von infizierten Systemen zu stehlen.
Wie exfiltrieren Angreifer gestohlene Daten aus infizierten Systemen?
Angreifer nutzten Hugging Face, eine beliebte Plattform für Projekte der künstlichen Intelligenz und des Machine Learnings, als Teil ihres Prozesses zur Datenexfiltration. Indem sie gestohlene Informationen über eine vertrauenswürdige Plattform umleiteten, wirkt die bösartige Aktivität weniger verdächtig als die Kommunikation mit traditionellen Command-and-Control-Servern, wodurch die Erkennung für Sicherheitsteams erschwert wird.
Welche Sicherheitsmaßnahmen empfehlen Experten für Entwickler?
Sicherheitsexperten empfehlen, dass Entwickler neu installierte Pakete sorgfältig prüfen, verdächtige Abhängigkeiten entfernen, potenziell offengelegte Zugangsdaten rotieren und die Wallet-Aktivität auf nicht autorisierte Transaktionen überwachen. Krypto-Nutzern wird empfohlen, Seed-Phrases nicht auf internetfähigen Geräten zu speichern und vor der Freigabe jede Wallet-Transaktion gründlich zu verifizieren.
