LONDON (IT BOLTWISE) – Ein neuer Angriff auf die Software-Lieferkette hat die Sicherheitsgemeinschaft alarmiert. Sicherheitsforscher haben bösartige Skripte in npm-Paketen entdeckt, die sensible Daten von Workstations und CI-Umgebungen ausspionieren.
Die jüngste Entdeckung von bösartigen npm-Paketen hat die IT-Sicherheitsbranche in Alarmbereitschaft versetzt. Diese Pakete enthalten Skripte, die gezielt darauf abzielen, interne Daten von Workstations und Continuous Integration (CI)-Umgebungen auszuspionieren. Die Sicherheitsfirma Socket hat 60 solcher Pakete identifiziert, die einen Infostealer enthalten. Dieser Infostealer sammelt Informationen wie Maschinen-Fingerabdrücke, Netzwerkdaten und Verzeichnisstrukturen und überträgt diese an ein Discord-Konto der Angreifer.
Die betroffenen Pakete stammen von drei verschiedenen npm-Accounts und wurden bereits über 3000 Mal heruntergeladen. Das bösartige Skript wird bei der Installation eines Pakets aktiviert und führt zunächst einen Sandbox-Check durch, um sicherzustellen, dass es in einer realen Umgebung ausgeführt wird. Dies bedeutet, dass es nur auf echten Workstations oder CI-Knoten aktiv wird, was die Bedrohung für Unternehmen erheblich erhöht.
Obwohl die betroffenen Pakete inzwischen aus dem npm-Verzeichnis entfernt wurden, warnen die Analysten vor einer möglichen Ausweitung des Angriffs. Die Angreifer könnten das Skript leicht klonen, seine Download-Telemetrie in Echtzeit aufzeichnen und es erneut veröffentlichen. Mit den gestohlenen Daten könnten sie weitere Angriffe auf die Lieferkette durchführen, insbesondere in CI-Umgebungen, wo die Kenntnis der Paket-Registries und Build-Pfade neue Angriffsmöglichkeiten eröffnet.
Um sich gegen solche Angriffe zu schützen, empfehlen die Sicherheitsanalysten, dass Entwickler ihre automatisierten Prüfungen nach der Installation von Paketen verstärken. Insbesondere sollten sie auf Webhooks, hartverdrahtete URLs und ungewöhnlich kleine Tarballs achten. Diese Maßnahmen könnten helfen, bösartige Aktivitäten frühzeitig zu erkennen und zu verhindern.
Ein Ausschnitt aus dem bösartigen Skript zeigt, welche Daten es ausspioniert. Dazu gehören unter anderem der Benutzername, die DNS-Server, die interne und externe IP-Adresse sowie die Organisation, zu der die Maschine gehört. Diese Informationen könnten den Angreifern wertvolle Einblicke in die Netzwerkstruktur eines Unternehmens geben und weitere Angriffe erleichtern.
Die Bedrohung durch Lieferkettenangriffe ist nicht neu, aber die zunehmende Komplexität und Vernetzung moderner Softwareentwicklungsumgebungen macht sie zu einem attraktiven Ziel für Cyberkriminelle. Unternehmen müssen daher ihre Sicherheitsstrategien kontinuierlich anpassen und verstärken, um solchen Bedrohungen entgegenzuwirken.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Gruppenleiter*in Künstliche Intelligenz
Senior Controlling Business Partner for Data & AI (f/m/d)
Fachinformatiker (m/w/d) für KI Deployment und Anwendung
Vertriebsprofi (m/w/d) für KI-basierte Softwarelösungen in der Autohausbranche
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Neue Bedrohung durch bösartige npm-Pakete: Sicherheitslücke in der Lieferkette" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Neue Bedrohung durch bösartige npm-Pakete: Sicherheitslücke in der Lieferkette" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Neue Bedrohung durch bösartige npm-Pakete: Sicherheitslücke in der Lieferkette« bei Google Deutschland suchen, bei Bing oder Google News!