Open Source Components Analyzed by Nexus Intelligence:

263
118234022

Software-Supply-Chain-Angriffe im zeitlichen Verlauf

Juli 2017 – heute

icon_code_bomb

MAI 2022

Das PyPI-Paket „ctx“ und die PHP-Bibliothek „phpass“ wurden kompromittiert, um Umgebungsvariablen zu stehlen

Das äußerst beliebte PyPI-Paket „ctx“ wurde bei einem Supply-Chain-Angriff kompromittiert und modifiziert, um Umgebungsvariablen seiner Nutzer zu stehlen. Darüber hinaus wurde das PHP-Projekt „phpass“ Opfer eines Repo-Hijacking-Angriffs, bei dem es mit identischen und schädlichen Nutzdaten versehen wurde, um so AWS-Schlüssel zu stehlen.

Neues, bösartiges „Pymafka“-Paket verbreitet Cobalt Strike auf macOS, Windows, Linux

Wir haben einen „Pymafka“-Typosquat entdeckt, der Cobalt-Strike-Nutzdaten auf allen Plattformen ablegt und Entwickler ins Visier nimmt, die PyKafka nutzen, einen legitimen Apache-Kafka-Client für Python.

Bösartiger „rustdecimal“-Crate im Rust-Repository gefunden

Der bösartige Typosquat „rustdecimal“ wurde in die crate[.]io-Registrierung von Rust hochgeladen. Der Typosquat, benannt nach dem legitimen „rust_decimal“, versteckt bösartigen Code mithilfe einer sorgfältig ausgearbeiteten XOR-Verschleierung. Das Forschungsteam von Sonatype hat die Malware analysiert und den Typosquat in unseren Sicherheitskatalog aufgenommen, um unsere Kunden zu schützen.

Laufende Offensive zielt auf die „colors“-Bibliothek ab

Wir haben bereits wiederholt beobachtet, wie Entwickler ins Visier genommen werden, die die beliebte „colors“-Bibliothek verwenden. Dabei wird versucht, Benutzer mit Typosquats wie „colors-2.0“, „colors-update“ oder „colorsss“ hereinzulegen, damit sie einen bösartigen Klon von „colors“ herunterladen, der vollgepackt ist mit informationsraubenden Trojanern.

Ein Klon des Apache-Kafka-Projekts setzt Dependency Confusion ein

Das von Sonatype abgefangene und analysierte PyPI-Paket „karapace“ hat genau den gleichen Namen wie das Python-Paket auf GitHub, bei dem es sich um „eine Open-Source-Implementierung der Kafka-REST- und -Schema-Registry“ handelt.

„Bloat-free“-Technik zur Datenexfiltration

Eines der verdächtigen npm-Pakete, die Sonatype abfangen konnte, tat nichts anderes, als ein anderes leeres npm-Paket von einem externen Server herunterzuladen – insgesamt ziemlich mysteriös. Es stellte sich jedoch heraus, dass dieser PoC-Test eines Forschers lediglich eine Ablenkungstechnik darstellte, um auf raffinierte Weise die IP-Adresse und den Benutzernamen des Opfers zu erhalten.

icon_broken_shield

APRIL 2022

Dependency-Confusion-Versuch in VMware VSphere von Sonatype abgefangen

Die automatisierten Malware-Erkennungs-Bots von Sonatype haben eine verdächtige Abhängigkeit gemeldet, die denselben Namen wie ein echtes Paket hat, das von Entwicklern im VMware VSphere SDK verwendet wird. PyPI hat das Paket nach unserer Meldung entfernt und VMWare bestätigte per Mitteilung, dass es keine Auswirkungen auf seine Benutzer und Produkte habe.

Über 500 schädliche npm-Pakete von Sonatype abgefangen

Von einem „fix-crash“-npm-Paket, das Ihre Discord-Informationen stiehlt, bis hin zu 400 weiteren bösartigen Paketen, die auf Azure-Entwickler abzielen und zusätzlich zu den Paketen vom März entdeckt wurden.

PyPI entfernt bösartiges „Distutil“-Paket, das „distutils“ imitiert

Der Name „Distutil“ mag Ihnen bekannt vorkommen, denn „distutils“ ist eine mittlerweile veraltete Python-Bibliothek, mit der sich zusätzliche Module in einer Python-Installation erstellen und installieren lassen. „Distutil“ enthält hingegen verschleierten Code und sieht aus wie ein Typosquatting-Versuch.

Zunahme von „Protestware“ während der Russland-Ukraine-Krise

Fälle von Protestware, in denen die Betreuer beliebter Open-Source-Projekte ihre eigene Software sabotieren, um ein Zeichen zu setzen, häufen sich weiterhin. In den Tagen nach der „node-ipc“-Sabotage begannen die Zuständigen für npm-Bibliotheken wie „event-source-polyfill“, „es5-ext“ und „styled-components“ ihren Paketen friedliche Antikriegsbotschaften hinzuzufügen.

Protestware
icon_hacker

März 2022

Vorsicht da draußen: Open-Source-Angriffe nehmen weiter zu

Wir haben 130 Typosquatting-Pakete auf npm sowie ein Dutzend bösartige Pakete im PyPI-Repository identifiziert – und das zu einer Zeit, in der sich die Welt auf die Russland-Ukraine-Krise konzentriert und Regierungen Unternehmen dazu anhalten, ihre Cybersicherheitsmaßnahmen zu verstärken, um auf entsprechende Cybervorfälle zu reagieren.

Neue bösartige „colors-2.0“- und „colors-3.0“-Pakete

Für fachfremde Beobachter scheinen die Bibliotheken „colors-2.0“ und „colors-3.0“ und andere lediglich „neuere“ Versionen der „colors“-Bibliothek zu sein. Doch leider ist das Gegenteil der Fall. Bei diesen Paketen handelt es sich um Malware, die geschickt so benannt wurde, dass ein unerfahrener Entwickler sie mit den neuesten Versionen der offiziellen „colors“-Bibliothek verwechseln könnte.

Kryptische „Reverse Shell“, die sich in PyPI-Paketen versteckt

Lassen Sie sich nicht von diesen Python-Paketen täuschen, die Sonatype diese Woche in der PyPI-Registry entdeckt hat. Sie reichen von einer mysteriösen Reverse Shell bis hin zu einem AIOHTTP-Typosquat, der nun schon zum dritten Mal auftaucht!

86 schädliche npm-Pakete, die nach beliebten NodeJS-Funktionen benannt wurden

Die automatischen Malware-Erkennungsbots von Sonatype haben 86 npm-Pakete entdeckt, die nach beliebten NodeJS- und JavaScript-Funktionen benannt wurden.

Diese Neuigkeit folgt auf die Entdeckung von über 400 schädlichen npm-Paketen in der vergangenen Woche, die auf Azure-, Uber- und Airbnb-Entwickler abzielen. Alle diese Pakete wurden von unserem Malware-Erkennungssystem entdeckt, das als Teil der Nexus Firewall angeboten wird.

icon_crypto_mining

Februar 2022

Schädliche PyPi-Pakete stehlen Ihre Roblox-Sicherheitscookies und Discord-Token

Die automatisierten Malware-Erkennungssysteme von Sonatype haben erneut schädliche PyPi-Pakete erwischt, die Ihre Roblox-Sicherheitscookies und Discord-Token stehlen und verdächtige EXE-Dateien auf Ihrem System absetzen.

Flut von Roblox- und Fortnite-Spam bei PyPI, NuGet und npm

Sonatype entdeckt kriminelle Akteure, die Open-Source-Repositorys mit Junk-Paketen überschwemmen, die Spam-Links enthalten. Vor dem Hintergrund groß angelegter Malware- und Spam-Kampagnen erläutern wir, warum Angreifer zunehmend Spieleentwickler ins Visier nehmen und Spieleplattformen zum Zwecke des Malware-Hostings missbrauchen.

PyPI-Paket mit Trojanern imitiert eine beliebte Python-Server-Bibliothek

Sonatype hat erneut ein böswilliges Python-Paket entdeckt – diesmal wird eine sehr beliebte Middleware-Bibliothek imitiert. Allerdings liefert dieses Paket einen Remote-Access-Trojaner (RAT), der das System vollständig kompromittiert.

jQuery-npm-Typosquat mit bösartiger Überraschung

Das populäre jQuery-Projekt hat einen mysteriösen Handlanger, der nun aufgetaucht ist - "jquery-lh". Während das npm-Paket echten jQuery-Code installiert, tut es hinter den Kulissen etwas Ungewöhnliches und Unerwartetes.

bad-package-4
icon_keyboard

JANUAR 2022

Sabotage der besonders beliebten npm-Bibliotheken „colors“ und „faker“

Tausende von Open-Source-Projekten, darunter die von Unternehmen wie Facebook (Meta) und Amazon, verloren ihre Funktionsfähigkeit, als der Entwickler hinter „colors“ und „faker“ absichtlich seine eigenen Pakete sabotierte – als Protestaktion gegen die Open-Source-Ausnutzung durch „Fortune 500“-Unternehmen.

PyPI mit mehr als 1200 Dependency-Confusion-Paketen überschwemmt

Am 23. Januar hat ein Benutzer die PyPI-Registry mit 1275 Dependency-Confusion-Paketen überschwemmt. Dies wurde von den automatischen Malware-Erkennungssystemen von Sonatype entdeckt.

icon_code_bomb

Dezember 2021

Log4j Zero-Day versetzt das Internet mit „Log4Shell“-Angriffen in Aufruhr

Eine kritische Zero-Day-Schwachstelle in dem enorm beliebten Logging-Framework log4j wurde gemeinsam mit einem öffentlichen PoC bekannt. Kurz darauf begannen Angreifer mit der massenhaften Ausnutzung dieser Schwachstelle, um Malware auf anfälligen Servern zu platzieren. Bald darauf gab CISA eine Empfehlung heraus und stellte eine spezielle Webseite online, um Unternehmen nachdrücklich aufzufordern, Log4Shell-Angriffe zu verhindern.

Schädliche PyPI-Pakete mit 10.000 Downloads offline gestellt

Diese Pakete schleusten Trojaner in Windows-Rechner ein und versuchten in Apache Mesos-Instanzen auf Linux-Systemen einzudringen.

Crypto-App infolge von Log4j-Hack mit Lösegeldforderung in Höhe von 5 Mio. $ konfrontiert

ONUS, eine der größten vietnamesischen Crypto-Apps, wurde aufgrund einer anfälligen Log4j-Version Opfer eines Cyber-Angriffs. Die Angreifer stellten zunächst eine Lösegeldforderung in Höhe von 5 Mio. $ gegenüber ONUS. Als das Unternehmen die Zahlung verweigerte, boten die Angreifer die 2 Millionen Kundendatensätze zum Kauf an.

Log-4-j
icon_trojan_horse

November 2021

Die beliebte Bibliothek „coa“ wurde auf die gleiche Art und Weise wie „ua-parser-js“ gekapert

Schädliche Versionen von „coa“ brachten React-Pipelines weltweit zum Erliegen, bis sie entfernt wurden. Diese Versionen enthielten ähnliche Trojaner zum Stehlen von Anmeldedaten wie die, die in den Versionen von „ua-parser-js“ steckten.

Nur wenige Stunden, nachdem „coa“ gekapert wurde, passierte das Gleiche auch mit „rc“

Ein weiteres beliebtes npm-Paket, „rc“ mit 14 Millionen wöchentlichen Downloads, wurde gekapert, um Malware zu verteilen – und das nur Stunden, nachdem der „coa“-Hack entdeckt wurde. Die Malware und auch der Angriffsstil waren in beiden Fällen identisch, was darauf schließen lässt, dass es sich hierbei um ein und denselben kriminellen Akteur handelt. NPM führt die Ursache beider Angriffe auf die Kompromittierung der Konten der Projektbetreuer zurück.

icon_crypto_mining

Oktober 2021

Neu gefundene npm-Malware schürft Kryptowährungen auf mehreren Geräten

Zwischen dem 12. und 15. Oktober wurde eine neuartige npm-Cryptomining-Malware gefunden, die auf Linux-, macOS- und Windows-Geräte abzielt und das reguläre Paket „ua-parser-js“ imitiert.

Beliebte Bibliothek „ua-parser-js“ angegriffen

Am 22. Oktober wurde die beliebte „ua-parser-js“-Bibliothek mit über 7 Millionen wöchentlichen Downloads gehackt. Dabei wurden die gleichen Kryptominer gefunden.

Falsches npm Roblox API-Paket installiert Ransomware und sorgt für eine böse Überraschung

Zwischen dem 20. und dem 26. Oktober entdeckte Sonatype verschiedene Typosquatting-Pakete, die noblox.js, einen beliebten API-Wrapper für Roblox-Spiele, imitieren. Die in npm gefundene Malware „Obfuscated“ enthält zusätzliche unerwünschte Funktionen, darunter Trojaner, Ransomware und eine böse Überraschung.

Cryptomining
icon_skimming

September 2021

Kryptowährungsraub infolge eines heimtückischen GitHub-Commits

Die Kryptowährungsplattform MISO von SushiSwap wurde infolge eines Software-Supply-Chain-Angriffs um 3 Mio. USD beraubt. Ein einziger mit Schadcode infizierter Commit im privaten GitHub-Repository von Sushi reichte aus, um das Auktionsportal des Unternehmens zu manipulieren und die echte Wallet-Adresse durch die des Angreifers zu ersetzen.

icon_broken_shield

Juli 2021

Kaseya

Eine Ransomware-Gruppe entdeckte eine Zero-Day-Schwachstelle in einer Software-Plattform für Fernüberwachung und -verwaltung, die von Dutzenden von Managed Security Providern (MSP) verwendet wird, und nutzte diese aus. Da diese MSPs Tausende nachgelagerte Kunden bedienen, konnten die Hacker einen Ransomware-Angriff ausführen, der 1.500 Opfer betraf.

icon_code_bomb

Mai 2021

WinGet von Microsoft – Probleme mit einer Vielzahl an duplizierten, fehlerhaften Apps

Am Wochenende nach dem Launch wurde die Software-Registry von Winget mit Pull-Requests für Apps überhäuft, die entweder Duplikate oder fehlerhaft waren. Einige neu hinzugefügte doppelte Pakete waren beschädigt und überschrieben die vorhandenen Pakete, was zu ernsthaften Bedenken bezüglich der Integrität des Winget-Ökosystems führte.

icon_hacker

April 2021

Codecov

Ein Angreifer konnte über einen Fehler von Codecov in Bezug auf die Erstellung von Docker-Images auf Anmeldedaten zugreifen. Mit diesen Anmeldedaten konnte im Zuge des Angriffs anschließend das Bash-Uploader-Script von Codecov geändert werden, das entweder direkt von Kunden oder über die anderen Uploader von Codecov, beispielsweise Github Action, genutzt wurde. Mithilfe dieses geänderten Scripts erbeutete der Angreifer Anmeldedaten aus der CI-Umgebung von Kunden, die dieses verwendeten.

Code_Thief-1
icon_keyboard

Februar 2021

Namespace Confusion

Drei Tage, nachdem bekannt wurde, dass ein Sicherheitsforscher unter Anwendung eines neuartigen Supply-Chain-Angriffs auf die Netzwerke von mehr als 35 Technologieunternehmen zugegriffen hatte, wurden mehr als 300 schädliche Nachahmungsangriffe registriert. Innerhalb eines Monats hatten mehr als 10.000 Dependency-Confusion-Nachahmer npm und weitere Ökosysteme infiltriert.

icon_trojan_horse

Dezember 2020

SolarWinds

Kriminelle Akteure verschafften sich Zugang zur Dev-Infrastruktur von SolarWinds und schleusten Schadcodes in Update-Binärdateien der Orion-Plattform ein. 18.000 Kunden luden von Trojanern befallene Updates automatisch herunter, die Backdoors in ihre Systeme einschleusten und es kriminellen Akteuren ermöglichten, private Netzwerke nach Belieben anzugreifen.

November 2020

Gefälschte Komponenten im npm-Ökosystem entdeckt

Eine Reihe von Komponenten wurde als Nachfolgeversionen der „fallguys“-Malware identifiziert: discord.dll, discord.app, wsbd.js, and ac-addon. Diese Komponenten exfiltrieren die „leveldb“-Dateien von Discord und Webbrowsern und sammeln Daten wie IP-Adressen sowie Dateien des Typs „PC username“, „discordcanary“ usw.

Malware namens „CursedGrabber“ entdeckt

Nach Entdeckung des Pakets mit der Bezeichnung xpc.js in der npm-Registry hat sich nun bestätigt, dass es sich dabei um Schadsoftware aus der neuentdeckten Gruppe der Discord-Malware namens CursedGrabber handelt. Diese Malware zielt auf Windows-Hosts ab und stiehlt Discord-Daten, indem sie Benutzerinformationen per Webhook an den Angreifer sendet.

Neue npm-Malware mit Bladabindi-Trojanern entdeckt

Die schädlichen Typosquatting-Pakete jdb.js and db-json.js wurden zusammen mit einem bekannten Remote Access Trojaner (RAT) namens njRAT – auch bekannt als Bladabindi – gefunden. Nach der Installation begann das schädliche Skript mit dem Sammeln und Auskundschaften von Daten (Reconnaissance) und startete anschließend patch.exe, einen in .NET programmierten njRAT. So können Angreifer Tastenanschläge aufzeichnen, Registry-Werte ändern, Systeme nach Belieben herunter- oder hochfahren und andere böswillige Handlungen ausführen.

Hacker_Concept-2
icon_code_bomb

Oktober 2020

Brandjacking-Malware im npm gefunden

Das gefälschte Paket twilio-npm öffnet eine Backdoor auf dem Gerät eines Benutzers und gibt Angreifern so die Kontrolle über den kompromittierten Rechner und die Möglichkeit zur Remote-Codeausführung (RCE, Remote Code Execution).

icon_keyboard

August 2020

Mehrere npm-Packete anfällig für Typosquatting-Angriffe

The electorn, loadyaml, lodashs, and loadyml -Pakete wurden alle als Sicherheitslücken eingestuft. Nach der Installation sammeln die Pakete vertrauliche Daten, einschließlich der IP-Adresse, des Standorts und Device-Fingerprinting-Informationen des Geräts, um diese Daten anschließend auf einer öffentlichen GitHub-Seite zu veröffentlichen.

icon_code_bomb

Mai 2020

Octopus Scanner

26 Open-Source-Pakete wiesen durch das Einschleusen von Schadcode Sicherheitslücken auf. Mit der Malware sollten über die NetBeans IDE Enumeration-Angriffe auf die Projekte von NetBeans durchgeführt und Backdoors geschaffen werden.

Octopus_Scanner-3
icon_broken_gem

April 2020

Hunderte Malware-Gems auf RubyGems gefunden

400 Gems wurden aufgrund von Typosquatting und Krypto-Mining-Malware aus dem öffentlichen Repository entfernt. Dazu gehörte auch atlas-client , welches 2.100 Mal von Entwicklern heruntergeladen wurde.

icon_code_bomb

Januar 2020

Microsoft entdeckt schädliches JavaScript-Paket

Das schädliche npm-Paket – 1337qq-js – stiehlt vertrauliche Informationen wie hartkodierte Passwörter oder API-Zugangs-Token durch Installationsskripte und greift ausschließlich UNIX-Systeme an.

icon_trojan_horse

Dezember 2019

Von Trojanern befallene Python-Bibliotheken entfernt

Zwei Python-Bibliotheken, python3-dateutil and jeIlyfish, wurden beim Diebstahl von SSH- und GPG-Keys in den Projekten betroffener Entwickler entdeckt.

November 2019

Computer mit schädlichem npm-Paket als „vollständig kompromittiert“ eingestuft

In sämtlichen Versionen von sj-tw-test-security wurde schädlicher Code festgestellt. Das Paket lädt ein Skript herunter und führt dieses aus, wodurch in Folge eine Reverse-Shell innerhalb des Systems geöffnet wird. So können externe Angreifer das betroffene System kompromittieren.

Anfälligkeit für Prototype Pollution führt weiterhin zu Problemen

Aufgrund einer Typosquatting-Schwachstelle in lodash npm packages, all versions of the lodahs Pakets Malware, die darauf ausgelegt ist, Kryptowährungs-Wallets zu exfiltrieren. Die Pakete web3b and web3-eht wurden aus demselben Grund entfernt.

dominoes
icon_broken_gem

Oktober 2019

Gem-Pakete aus dem Repository entfernt

Drei Versionen des im Jahr 2017 veröffentlichten Gems-Pakets basic_authable, wurden aufgrund schädlicher Inhalte aus dem Gems-Repository entfernt.

icon_crypto_mining

August 2019

Kompromittierte Version eines rest-client-Betreibers stahl Anmeldedaten und installierte Krypto-Miner

Eine kompromittierte Version von rest-client, einem beliebten HTTP- und REST-Client für Ruby, wurde in RubyGems hochgeladen. Die betroffenen Versionen (1.6.10 bis 1.6.13) wurden etwa 1.000 Mal heruntergeladen. Ähnliche Schwachstellen wurden in den folgenden Gems-Paketen gefunden: coming-soon and cron_parser.

Schädliches Paket aus dem npm-Repository entfernt

Die Komponente bb-builder stahl Anmeldedaten von Rechnern, auf denen sie installiert war, und sendete die Daten an einen Remote-Server.

icon_code_bomb

Juli 2019

Schädliche Python-Bibliotheken aus PyPI entfernt

Ein Sicherheitsunternehmen hat drei schädliche Python-Bibliotheken gefunden – libpeshnx, libpesh, and libari – die in den offiziellen Python Package Index (PyPI) hochgeladen wurden und eine versteckte Backdoor enthielten. Diese wurde aktiviert, wenn die Bibliotheken auf Linux-Systemen installiert wurden.

RubyGems-Komponente mit schädlichem Code gefunden

Dieser Angriff erfolgt über die Ausführung von Remote-Code in Anwendungen, die die Komponente strong_password verwenden oder bündeln. Bei diesem Angriff kompromittierte der Hacker die Komponente und ihre Abhängigkeiten, um den Gem-Betreiber auszusperren.

skull-chip
icon_hacker

Juni 2019

Kryptowährungs-Angriff auf npm über Malicious Code Injection

Ein npm-Paket enthielt Code zum Diebstahl von Kryptowährungs-Wallet-Seeds und weiteren Anmeldedaten für Kryptowährungs-Apps. Die Macher des Kryptowährungs-Wallets Agama wurden von npm-Forschern gewarnt und konnten Währung im Wert von 13 Mio. $ verlagern, bevor etwaige Diebe zuschlagen konnten.

23 schädliche RubyGems-Pakete entdeckt

Die Pakete wurden aus dem öffentlichen Repository entfernt, da sie Code für Krypto-Mining oder Diebstahl von Cookies/Passwörtern aufwiesen.

crypto_coins_bugs
icon_broken_gem

März 2019

RubyGems-Pakete mit Backdoor ermöglichen Ausführung von Remote-Code

Eine schädliche Version des beliebten Pakets bootstrap-sass , das zu diesem Zeitpunkt insgesamt 28 Millionen Mal heruntergeladen wurde und 1.600 Abhängigkeiten aufweist, wird auf dem RubyGems-Repository veröffentlicht. 

icon_injection

November 2018

Schädliches Paket in ein beliebtes npm-Paket eingeschleust

Der Schadcode event-stream zielt auf die Anwendung Copay ab und wurde entwickelt, um Kontodaten und private Schlüssel von Konten mit einem Saldo von mehr als 100 Bitcoin oder 1.000 Bitcoin Cash zu erfassen.

Juli 2018

Kompromittiertes JavaScrip-Paket stiehlt npm-Anmeldedaten

Ein Hacker verschafft sich Zugriff auf das npm-Konto eines Entwicklers und injiziert bösartigen Code in eine beliebte JavaScript-Bibliothek namens eslint-scope, , einem Sub-Modul des bekannteren ESLint, , einem Analyse-Toolkit für JavaScript-Code.

Homebrew-Repository kompromittiert

Ein Github-API-Token, das über die Jenkins-Instanz von Homebrew geleakt wurde, verschaffte einem Sicherheitsforscher Zugang zu den Software-Repositorys von Homebrew.

„Wenn ich ein Angreifer wäre, hätte ich eine kleine, wahrscheinlich unbemerkte Änderung an der OpenSSL-Formel vornehmen können, sodass eine Backdoor auf jedem betroffenen Rechner installiert worden wäre“, erklärt Sicherheitsforscher Eric Holmes.

password_theft
icon_code_bomb

Juni 2018

Linux-Distribution auf GitHub gehackt

Unbekannte Personen erlangten Kontrolle über Github Gentoo und änderten den Inhalt von Repositorys sowie darin enthaltener Seiten – der gesamte Code gilt als kompromittiert.

icon_back_door

Mai 2018

npm-Paket mit Backdoor entdeckt

Das npm-Sicherheitsteam reagiert auf Berichte über das Paket getcookies , das Schadcode enthielt, mit dem Remote-Benutzer beliebigen Code auf Servern ausführen können. Die Untersuchung ergab zudem, dass ein bestehendes Paket namens mailparser begann, http-fetch-cookies als Abhängigkeit aufzuführen. Obwohl Mailparser mittlerweile veraltet ist, wird es dennoch ca. 64.000 Mal pro Woche heruntergeladen.

PyPI-Paket mit Backdoor entdeckt

Im Python-Modul ssh-decorator wurde eine Backdoor entdeckt, die die SSH-Anmeldedaten von Benutzern sammelte und die Daten anschließend an einen Remote-Server sendete.

Code_Door-Thief
icon_hacker

Februar 2018

Gelöschtes GitHub-Konto von unbekanntem Nutzer wieder aktiviert

Nachdem ein Entwickler sein go-bindata -GitHub-Konto gelöscht hatte, wurde die ID umgehend von einem Unbekannten gekapert – inklusive des zugehörigen Karmas, wodurch er Pakete und Quellen infrage stellen konnte.

npm-Anmeldedaten absichtlich kompromittiert

Eine schädliche Paketversion eines Hauptbeteiligten am conventional-changelog -Ökosystem wird veröffentlicht. Das Paket wurde in 35 Stunden 28.000-mal installiert und führte zum Mining der Kryptowährung Monero.

icon_skimming

Januar 2018

„Ich sammle Kreditkartendaten und Passwörter von Ihrer Website. So geht's.“

David Gilbertson schreibt in seinem Blog eine fiktive Geschichte über die Erstellung eines schädlichen npm-Pakets.

icon_keyboard

September 2017

PyPI Typosquat

Es wurden zehn schädliche Python-Pakete mit absichtlich falsch geschrieben Namen zur Täuschung von Benutzern entdeckt. Die Implementierung der gefälschten Pakete in Software konnte mehrere Male zwischen Juni und Sept. 2017 nachgewiesen werden.

Juli 2017

Typosquatting-Angriff auf npm

39 Pakete, die im Laufe von zwei Wochen unbemerkt abgefangen, wobei Anmeldedaten gesammelt wurden, die für Veröffentlichungen im npm-Repository selbst verwendet wurden.

Anmeldedaten von npm online veröffentlicht

Betraf den Zugriff auf 14 % des npm-Repository (79.000 Pakete). Folglich setzte npm die Passwörter und Auth-Token von mehr als 1.000 Entwicklern zurück.

17 auf Docker Hub erstellte Images mit Backdoor

Username docker123321 lud Container-Images mit Backdoor hoch, die zur Installation von Reverse Shells und Kryptowährungs-Minern auf den Servern der Benutzer verwendet wurden. Die Images wurden erst im Juni 2018 entfernt. Derselbe Benutzername wurde später verdächtigt, einen Honeypot von Kubernetes „vergiftet“ zu haben (Januar 2018), und als Krypto-Mining-Botnetz deklariert (Mai 2018).

Password_Thief

Additional Resources

icon_circle_whitepapers@2x

2021 State of the Software
Supply Chain Report

Der Bericht von Sonatype verknüpft ein breites Spektrum an Daten und liefert auf diese Weise aussagekräftige Erkenntnisse über Open-Source-Ansätze und deren zunehmende Bedeutung im Hinblick auf die digitale Innovation.

demandbase_icon_circle_Intel@2x

Was ist Nexus Intelligence?

Erfahren Sie, wie sich ständig weiterentwickelnde künstliche Intelligenz und maschinelles Lernen sowie 65 Experten von Weltrang, die gemeinsam über 500 Jahre an Erfahrung mitbringen, die branchenweit besten Daten hervorbringen. 

Scanner Icon

Sind Ihre Anwendungen sicher?

Laufen Sie Gefahr, Opfer von Software-Supply-Chain-Hacks zu werden? Testen Sie KOSTENLOS den Nexus Vulnerability Scanner und finden Sie heraus, ob Ihre Software Open-Source-Sicherheitslücken aufweist.

Bereit, Sonatype auszuprobieren?

Schützen und automatisieren Sie Ihre Software-Supply-Chain.