07 Jun 2024 Digitaltag
25 May 2024 6. Jahrestag DSGVO (Datenschutz-Grundverordnung) GDPR (General Data Protection Regulation)
02 May 2024 World Password Day / Welt-Passwort-Tag / Internationaler Tag des Passworts
22 Apr 2024 Earth Day / Tag der Erde
09 Apr 2024 Identity Management Day
Abonnieren Sie unseren Newsletter
x
 

JFrog enthüllt acht bösartige Open-Source-Pakete: Windows-Chrome-Nutzerdaten im Visier

Das JFrog Security Research Team hat eine komplexe Bedrohung für die Lieferkette auf npm entdeckt, einem Open-Source-Software-Repository, das von 17 Millionen Entwicklern genutzt wird.

JFrog, das Liquid-Software-Unternehmen gibt die Entdeckung von acht bösartigen Paketen bekannt, die auf npm, einem der weltweit größten Repositorys für Open-Source-JavaScript-Komponenten, veröffentlicht wurden.

Die Pakete, darunter react-sxt (Version 2.4.1), react-typex (Version 0.1.0) und react-native-control (Version 2.4.1), wurden von böswilligen npm-Benutzern hochgeladen. Sie enthielten eine hochentwickelte multi-layer Verschleierung mit über 70 Layers versteckten Codes, die es Angreifern ermöglichte, bösartige Payloads auf Entwicklerrechnern ohne Benutzerinteraktion auszuführen.

Die endgültige Payload richtete sich gegen Windows-Chrome-Benutzer und war in der Lage folgende Aktionen auszuführen:

  • Datendiebstahl: Extrahieren sensibler Chrome-Browser-Daten aus allen Benutzerprofilen, einschließlich Passwörtern, Kreditkarteninformationen, Cookies und Kryptowährungs-Wallets.

  • Umgehungstechniken: Verwendung von Schattenkopie-Umgehung, LSASS-Identitätswechsel, mehreren Datenbankzugriffsmethoden und Umgehung der Dateisperre, um eine Erkennung zu vermeiden.

  • Datenexfiltration: Hochladen gestohlener Daten auf von Angreifern kontrollierte Server, einschließlich der von Railway gehosteten Infrastruktur.

„Open-Source-Software-Repositorys sind zu einem der wichtigsten Einstiegspunkte für Angreifer im Rahmen von Supply-Chain-Angriffen geworden, wobei zunehmend Typosquatting und Masquerading eingesetzt werden, um sich als legitim auszugeben“, sagt Guy Korolevski, Sicherheitsforscher bei JFrog. Das Bedrohungspotenzial solcher ausgeklügelter Kampagnen, die darauf abzielen, herkömmliche Sicherheitsmaßnahmen zu umgehen und sensible Daten zu stehlen, unterstreicht, wie wichtig es ist, über die gesamte Software-Lieferkette hinweg Transparenz zu schaffen, mit automatisierten Scans und einer einzigen zuverlässigen Quelle für alle Softwarekomponenten.“

JFrog hat seine Erkenntnisse an npm gemeldet, und die bösartigen Pakete wurden inzwischen entfernt. JFrogXray wurde ebenfalls aktualisiert. Entwickler, die diese Pakete heruntergeladen oder verwendet haben, sollten jedoch potenziell kompromittierte Anmeldedaten ändern, ihre Systeme auf verdächtige Aktivitäten überprüfen und sicherstellen, dass sie automatisierte Sicherheitsmaßnahmen für die Software-Lieferkette einsetzen.

Die vollständige Analyse des Angriffs finden Sie hier: http://jfrog.co/3JAFrcW

 

JFrog enthüllt acht bösartige Open-Source-Pakete: Windows-Chrome-Nutzerdaten im Visier

Das JFrog Security Research Team hat eine komplexe Bedrohung für die Lieferkette auf npm entdeckt, einem Open-Source-Software-Repository, das von 17 Millionen Entwicklern genutzt wird.

JFrog, das Liquid-Software-Unternehmen gibt die Entdeckung von acht bösartigen Paketen bekannt, die auf npm, einem der weltweit größten Repositorys für Open-Source-JavaScript-Komponenten, veröffentlicht wurden.

Die Pakete, darunter react-sxt (Version 2.4.1), react-typex (Version 0.1.0) und react-native-control (Version 2.4.1), wurden von böswilligen npm-Benutzern hochgeladen. Sie enthielten eine hochentwickelte multi-layer Verschleierung mit über 70 Layers versteckten Codes, die es Angreifern ermöglichte, bösartige Payloads auf Entwicklerrechnern ohne Benutzerinteraktion auszuführen.

Die endgültige Payload richtete sich gegen Windows-Chrome-Benutzer und war in der Lage folgende Aktionen auszuführen:

  • Datendiebstahl: Extrahieren sensibler Chrome-Browser-Daten aus allen Benutzerprofilen, einschließlich Passwörtern, Kreditkarteninformationen, Cookies und Kryptowährungs-Wallets.

  • Umgehungstechniken: Verwendung von Schattenkopie-Umgehung, LSASS-Identitätswechsel, mehreren Datenbankzugriffsmethoden und Umgehung der Dateisperre, um eine Erkennung zu vermeiden.

  • Datenexfiltration: Hochladen gestohlener Daten auf von Angreifern kontrollierte Server, einschließlich der von Railway gehosteten Infrastruktur.

„Open-Source-Software-Repositorys sind zu einem der wichtigsten Einstiegspunkte für Angreifer im Rahmen von Supply-Chain-Angriffen geworden, wobei zunehmend Typosquatting und Masquerading eingesetzt werden, um sich als legitim auszugeben“, sagt Guy Korolevski, Sicherheitsforscher bei JFrog. Das Bedrohungspotenzial solcher ausgeklügelter Kampagnen, die darauf abzielen, herkömmliche Sicherheitsmaßnahmen zu umgehen und sensible Daten zu stehlen, unterstreicht, wie wichtig es ist, über die gesamte Software-Lieferkette hinweg Transparenz zu schaffen, mit automatisierten Scans und einer einzigen zuverlässigen Quelle für alle Softwarekomponenten.“

JFrog hat seine Erkenntnisse an npm gemeldet, und die bösartigen Pakete wurden inzwischen entfernt. JFrogXray wurde ebenfalls aktualisiert. Entwickler, die diese Pakete heruntergeladen oder verwendet haben, sollten jedoch potenziell kompromittierte Anmeldedaten ändern, ihre Systeme auf verdächtige Aktivitäten überprüfen und sicherstellen, dass sie automatisierte Sicherheitsmaßnahmen für die Software-Lieferkette einsetzen.

Die vollständige Analyse des Angriffs finden Sie hier: http://jfrog.co/3JAFrcW