Die Malware-Erkennungssysteme von Sonatype haben 186 npm- Pakete gefunden, bei denen es sich um Typosquats beliebter Bibliotheken handelte. Alle diese Pakete ließen Krypto-Miner fallen, nachdem sie Linux-Systeme infiziert hatten. Ein Sicherheitsforscher namens Hauke Lübbers entdeckte zusätzlich einen identischen Angriff auf PyPI und teilte mit uns eine Liste mit 55 schädlichen Python-Paketen.
Das bösartige Python-Paket „secretslib“ schleust einen sekundären Payload in den Arbeitsspeicher ein, um XMRig unbemerkt auszuführen und Monero zu minen.
Wir haben mehrere bösartige Python-Pakete identifiziert und analysiert, die Ransomware-Skripte enthalten und Typosquats einer legitimen, weit verbreiteten Bibliothek namens „Requests“ sind.
Sonatype hat schadhafte PyPI-Pakete entdeckt, die neue Remote-Desktop-Benutzerkonten auf Ihrem Windows-Computer einrichten und verschlüsselte Telegram-Dateien von Ihrem Telegram-Desktop-Client stehlen.
Wir haben eine verdächtige PyPI-Komponente namens „python-dateutils“ identifiziert, die auf Ihrem System – egal ob Windows, Linux oder macOS – die Kryptowährung Monero (XMR) schürft und AWS-Anmeldeinformationen stiehlt.
Sicherheitsforscher von Sonatype haben die npm-Pakete „@core-pas/cyb-core“ und „notreallyapackagetrustme“ analysiert, die versuchen, Amazon-EC2-Anmeldedaten sowie sensible Dateien wie ⁄etc/passwd unter Linux und SAM/SYSTEM unter Windows zu exfiltrieren.
Das npm-Paket „flame-vali“ behauptet, dass Entwickler damit „alle Anfrage-Proxys umgehen können“. Stattdessen enthält es stark verschleierte Nutzdaten, die mehrfach versuchen, Windows Defender zu deaktivieren, bevor ein Trojaner gedroppt wird.
Mehrere PyPI-Pakete und -Typosquats, die wir diesen Monat entdeckt haben, exfiltrieren AWS-Schlüssel, Umgebungsvariablen und andere geheime Zugangsdaten. Benutzer dieser Pakete sollten ihre Anmeldedaten sofort ändern.
Das äußerst beliebte PyPI-Paket „ctx“ wurde bei einem Supply-Chain-Angriff kompromittiert und modifiziert, um Umgebungsvariablen seiner Nutzer zu stehlen. Darüber hinaus wurde das PHP-Projekt „phpass“ Opfer eines Repo-Hijacking-Angriffs, bei dem es mit identischen und schädlichen Nutzdaten versehen wurde, um so AWS-Schlüssel zu stehlen.
Wir haben einen „Pymafka“-Typosquat entdeckt, der Cobalt-Strike-Nutzdaten auf allen Plattformen ablegt und Entwickler ins Visier nimmt, die PyKafka nutzen, einen legitimen Apache-Kafka-Client für Python.
Der bösartige Typosquat „rustdecimal“ wurde in die crate[.]io-Registrierung von Rust hochgeladen. Der Typosquat, benannt nach dem legitimen „rust_decimal“, versteckt bösartigen Code mithilfe einer sorgfältig ausgearbeiteten XOR-Verschleierung. Das Forschungsteam von Sonatype hat die Malware analysiert und den Typosquat in unseren Sicherheitskatalog aufgenommen, um unsere Kunden zu schützen.
Wir haben bereits wiederholt beobachtet, wie Entwickler ins Visier genommen werden, die die beliebte „colors“-Bibliothek verwenden. Dabei wird versucht, Benutzer mit Typosquats wie „colors-2.0“, „colors-update“ oder „colorsss“ hereinzulegen, damit sie einen bösartigen Klon von „colors“ herunterladen, der vollgepackt ist mit informationsraubenden Trojanern.
Das von Sonatype abgefangene und analysierte PyPI-Paket „karapace“ hat genau den gleichen Namen wie das Python-Paket auf GitHub, bei dem es sich um „eine Open-Source-Implementierung der Kafka-REST- und -Schema-Registry“ handelt.
Eines der verdächtigen npm-Pakete, die Sonatype abfangen konnte, tat nichts anderes, als ein anderes leeres npm-Paket von einem externen Server herunterzuladen – insgesamt ziemlich mysteriös. Es stellte sich jedoch heraus, dass dieser PoC-Test eines Forschers lediglich eine Ablenkungstechnik darstellte, um auf raffinierte Weise die IP-Adresse und den Benutzernamen des Opfers zu erhalten.
Die automatisierten Malware-Erkennungs-Bots von Sonatype haben eine verdächtige Abhängigkeit gemeldet, die denselben Namen wie ein echtes Paket hat, das von Entwicklern im VMware VSphere SDK verwendet wird. PyPI hat das Paket nach unserer Meldung entfernt und VMWare bestätigte per Mitteilung, dass es keine Auswirkungen auf seine Benutzer und Produkte habe.
Von einem „fix-crash“-npm-Paket, das Ihre Discord-Informationen stiehlt, bis hin zu 400 weiteren bösartigen Paketen, die auf Azure-Entwickler abzielen und zusätzlich zu den Paketen vom März entdeckt wurden.
Der Name „Distutil“ mag Ihnen bekannt vorkommen, denn „distutils“ ist eine mittlerweile veraltete Python-Bibliothek, mit der sich zusätzliche Module in einer Python-Installation erstellen und installieren lassen. „Distutil“ enthält hingegen verschleierten Code und sieht aus wie ein Typosquatting-Versuch.
Fälle von Protestware, in denen die Betreuer beliebter Open-Source-Projekte ihre eigene Software sabotieren, um ein Zeichen zu setzen, häufen sich weiterhin. In den Tagen nach der „node-ipc“-Sabotage begannen die Zuständigen für npm-Bibliotheken wie „event-source-polyfill“, „es5-ext“ und „styled-components“ ihren Paketen friedliche Antikriegsbotschaften hinzuzufügen.
Wir haben 130 Typosquatting-Pakete auf npm sowie ein Dutzend bösartige Pakete im PyPI-Repository identifiziert – und das zu einer Zeit, in der sich die Welt auf die Russland-Ukraine-Krise konzentriert und Regierungen Unternehmen dazu anhalten, ihre Cybersicherheitsmaßnahmen zu verstärken, um auf entsprechende Cybervorfälle zu reagieren.
Für fachfremde Beobachter scheinen die Bibliotheken „colors-2.0“ und „colors-3.0“ und andere lediglich „neuere“ Versionen der „colors“-Bibliothek zu sein. Doch leider ist das Gegenteil der Fall. Bei diesen Paketen handelt es sich um Malware, die geschickt so benannt wurde, dass ein unerfahrener Entwickler sie mit den neuesten Versionen der offiziellen „colors“-Bibliothek verwechseln könnte.
Lassen Sie sich nicht von diesen Python-Paketen täuschen, die Sonatype diese Woche in der PyPI-Registry entdeckt hat. Sie reichen von einer mysteriösen Reverse Shell bis hin zu einem AIOHTTP-Typosquat, der nun schon zum dritten Mal auftaucht!
Die automatischen Malware-Erkennungsbots von Sonatype haben 86 npm-Pakete entdeckt, die nach beliebten NodeJS- und JavaScript-Funktionen benannt wurden.
Diese Neuigkeit folgt auf die Entdeckung von über 400 schädlichen npm-Paketen in der vergangenen Woche, die auf Azure-, Uber- und Airbnb-Entwickler abzielen. Alle diese Pakete wurden von unserem Malware-Erkennungssystem entdeckt, das als Teil der Nexus Firewall angeboten wird.
Die automatisierten Malware-Erkennungssysteme von Sonatype haben erneut schädliche PyPi-Pakete erwischt, die Ihre Roblox-Sicherheitscookies und Discord-Token stehlen und verdächtige EXE-Dateien auf Ihrem System absetzen.
Sonatype entdeckt kriminelle Akteure, die Open-Source-Repositorys mit Junk-Paketen überschwemmen, die Spam-Links enthalten. Vor dem Hintergrund groß angelegter Malware- und Spam-Kampagnen erläutern wir, warum Angreifer zunehmend Spieleentwickler ins Visier nehmen und Spieleplattformen zum Zwecke des Malware-Hostings missbrauchen.
Sonatype hat erneut ein böswilliges Python-Paket entdeckt – diesmal wird eine sehr beliebte Middleware-Bibliothek imitiert. Allerdings liefert dieses Paket einen Remote-Access-Trojaner (RAT), der das System vollständig kompromittiert.
Das populäre jQuery-Projekt hat einen mysteriösen Handlanger, der nun aufgetaucht ist - "jquery-lh". Während das npm-Paket echten jQuery-Code installiert, tut es hinter den Kulissen etwas Ungewöhnliches und Unerwartetes.
Tausende von Open-Source-Projekten, darunter die von Unternehmen wie Facebook (Meta) und Amazon, verloren ihre Funktionsfähigkeit, als der Entwickler hinter „colors“ und „faker“ absichtlich seine eigenen Pakete sabotierte – als Protestaktion gegen die Open-Source-Ausnutzung durch „Fortune 500“-Unternehmen.
Am 23. Januar hat ein Benutzer die PyPI-Registry mit 1275 Dependency-Confusion-Paketen überschwemmt. Dies wurde von den automatischen Malware-Erkennungssystemen von Sonatype entdeckt.
ONUS, eine der größten vietnamesischen Crypto-Apps, wurde aufgrund einer anfälligen Log4j-Version Opfer eines Cyber-Angriffs. Die Angreifer stellten zunächst eine Lösegeldforderung in Höhe von 5 Mio. $ gegenüber ONUS. Als das Unternehmen die Zahlung verweigerte, boten die Angreifer die 2 Millionen Kundendatensätze zum Kauf an.
Eine kritische Zero-Day-Schwachstelle in dem enorm beliebten Logging-Framework log4j wurde gemeinsam mit einem öffentlichen PoC bekannt. Kurz darauf begannen Angreifer mit der massenhaften Ausnutzung dieser Schwachstelle, um Malware auf anfälligen Servern zu platzieren. Bald darauf gab CISA eine Empfehlung heraus und stellte eine spezielle Webseite online, um Unternehmen nachdrücklich aufzufordern, Log4Shell-Angriffe zu verhindern.
Diese Pakete schleusten Trojaner in Windows-Rechner ein und versuchten in Apache Mesos-Instanzen auf Linux-Systemen einzudringen.
Schädliche Versionen von „coa“ brachten React-Pipelines weltweit zum Erliegen, bis sie entfernt wurden. Diese Versionen enthielten ähnliche Trojaner zum Stehlen von Anmeldedaten wie die, die in den Versionen von „ua-parser-js“ steckten.
Ein weiteres beliebtes npm-Paket, „rc“ mit 14 Millionen wöchentlichen Downloads, wurde gekapert, um Malware zu verteilen – und das nur Stunden, nachdem der „coa“-Hack entdeckt wurde. Die Malware und auch der Angriffsstil waren in beiden Fällen identisch, was darauf schließen lässt, dass es sich hierbei um ein und denselben kriminellen Akteur handelt. NPM führt die Ursache beider Angriffe auf die Kompromittierung der Konten der Projektbetreuer zurück.
Zwischen dem 12. und 15. Oktober wurde eine neuartige npm-Cryptomining-Malware gefunden, die auf Linux-, macOS- und Windows-Geräte abzielt und das reguläre Paket „ua-parser-js“ imitiert.
Am 22. Oktober wurde die beliebte „ua-parser-js“-Bibliothek mit über 7 Millionen wöchentlichen Downloads gehackt. Dabei wurden die gleichen Kryptominer gefunden.
Zwischen dem 20. und dem 26. Oktober entdeckte Sonatype verschiedene Typosquatting-Pakete, die noblox.js, einen beliebten API-Wrapper für Roblox-Spiele, imitieren. Die in npm gefundene Malware „Obfuscated“ enthält zusätzliche unerwünschte Funktionen, darunter Trojaner, Ransomware und eine böse Überraschung.
Die Kryptowährungsplattform MISO von SushiSwap wurde infolge eines Software-Supply-Chain-Angriffs um 3 Mio. USD beraubt. Ein einziger mit Schadcode infizierter Commit im privaten GitHub-Repository von Sushi reichte aus, um das Auktionsportal des Unternehmens zu manipulieren und die echte Wallet-Adresse durch die des Angreifers zu ersetzen.
Eine Ransomware-Gruppe entdeckte eine Zero-Day-Schwachstelle in einer Software-Plattform für Fernüberwachung und -verwaltung, die von Dutzenden von Managed Security Providern (MSP) verwendet wird, und nutzte diese aus. Da diese MSPs Tausende nachgelagerte Kunden bedienen, konnten die Hacker einen Ransomware-Angriff ausführen, der 1.500 Opfer betraf.
Am Wochenende nach dem Launch wurde die Software-Registry von Winget mit Pull-Requests für Apps überhäuft, die entweder Duplikate oder fehlerhaft waren. Einige neu hinzugefügte doppelte Pakete waren beschädigt und überschrieben die vorhandenen Pakete, was zu ernsthaften Bedenken bezüglich der Integrität des Winget-Ökosystems führte.
Ein Angreifer konnte über einen Fehler von Codecov in Bezug auf die Erstellung von Docker-Images auf Anmeldedaten zugreifen. Mit diesen Anmeldedaten konnte im Zuge des Angriffs anschließend das Bash-Uploader-Script von Codecov geändert werden, das entweder direkt von Kunden oder über die anderen Uploader von Codecov, beispielsweise Github Action, genutzt wurde. Mithilfe dieses geänderten Scripts erbeutete der Angreifer Anmeldedaten aus der CI-Umgebung von Kunden, die dieses verwendeten.
Drei Tage, nachdem bekannt wurde, dass ein Sicherheitsforscher unter Anwendung eines neuartigen Supply-Chain-Angriffs auf die Netzwerke von mehr als 35 Technologieunternehmen zugegriffen hatte, wurden mehr als 300 schädliche Nachahmungsangriffe registriert. Innerhalb eines Monats hatten mehr als 10.000 Dependency-Confusion-Nachahmer npm und weitere Ökosysteme infiltriert.
Kriminelle Akteure verschafften sich Zugang zur Dev-Infrastruktur von SolarWinds und schleusten Schadcodes in Update-Binärdateien der Orion-Plattform ein. 18.000 Kunden luden von Trojanern befallene Updates automatisch herunter, die Backdoors in ihre Systeme einschleusten und es kriminellen Akteuren ermöglichten, private Netzwerke nach Belieben anzugreifen.
Nach Entdeckung des Pakets mit der Bezeichnung xpc.js in der npm-Registry hat sich nun bestätigt, dass es sich dabei um Schadsoftware aus der neuentdeckten Gruppe der Discord-Malware namens CursedGrabber handelt. Diese Malware zielt auf Windows-Hosts ab und stiehlt Discord-Daten, indem sie Benutzerinformationen per Webhook an den Angreifer sendet.
Eine Reihe von Komponenten wurde als Nachfolgeversionen der „fallguys“-Malware identifiziert: discord.dll, discord.app, wsbd.js, and ac-addon. Diese Komponenten exfiltrieren die „leveldb“-Dateien von Discord und Webbrowsern und sammeln Daten wie IP-Adressen sowie Dateien des Typs „PC username“, „discordcanary“ usw.
Die schädlichen Typosquatting-Pakete jdb.js and db-json.js wurden zusammen mit einem bekannten Remote Access Trojaner (RAT) namens njRAT – auch bekannt als Bladabindi – gefunden. Nach der Installation begann das schädliche Skript mit dem Sammeln und Auskundschaften von Daten (Reconnaissance) und startete anschließend patch.exe, einen in .NET programmierten njRAT. So können Angreifer Tastenanschläge aufzeichnen, Registry-Werte ändern, Systeme nach Belieben herunter- oder hochfahren und andere böswillige Handlungen ausführen.
Das gefälschte Paket twilio-npm öffnet eine Backdoor auf dem Gerät eines Benutzers und gibt Angreifern so die Kontrolle über den kompromittierten Rechner und die Möglichkeit zur Remote-Codeausführung (RCE, Remote Code Execution).
The electorn, loadyaml, lodashs, and loadyml -Pakete wurden alle als Sicherheitslücken eingestuft. Nach der Installation sammeln die Pakete vertrauliche Daten, einschließlich der IP-Adresse, des Standorts und Device-Fingerprinting-Informationen des Geräts, um diese Daten anschließend auf einer öffentlichen GitHub-Seite zu veröffentlichen.
26 Open-Source-Pakete wiesen durch das Einschleusen von Schadcode Sicherheitslücken auf. Mit der Malware sollten über die NetBeans IDE Enumeration-Angriffe auf die Projekte von NetBeans durchgeführt und Backdoors geschaffen werden.
400 Gems wurden aufgrund von Typosquatting und Krypto-Mining-Malware aus dem öffentlichen Repository entfernt. Dazu gehörte auch atlas-client , welches 2.100 Mal von Entwicklern heruntergeladen wurde.
Das schädliche npm-Paket – 1337qq-js – stiehlt vertrauliche Informationen wie hartkodierte Passwörter oder API-Zugangs-Token durch Installationsskripte und greift ausschließlich UNIX-Systeme an.
Zwei Python-Bibliotheken, python3-dateutil and jeIlyfish, wurden beim Diebstahl von SSH- und GPG-Keys in den Projekten betroffener Entwickler entdeckt.
In sämtlichen Versionen von sj-tw-test-security wurde schädlicher Code festgestellt. Das Paket lädt ein Skript herunter und führt dieses aus, wodurch in Folge eine Reverse-Shell innerhalb des Systems geöffnet wird. So können externe Angreifer das betroffene System kompromittieren.
Aufgrund einer Typosquatting-Schwachstelle in lodash npm packages, all versions of the lodahs Pakets Malware, die darauf ausgelegt ist, Kryptowährungs-Wallets zu exfiltrieren. Die Pakete web3b and web3-eht wurden aus demselben Grund entfernt.
Drei Versionen des im Jahr 2017 veröffentlichten Gems-Pakets basic_authable, wurden aufgrund schädlicher Inhalte aus dem Gems-Repository entfernt.
Eine kompromittierte Version von rest-client, einem beliebten HTTP- und REST-Client für Ruby, wurde in RubyGems hochgeladen. Die betroffenen Versionen (1.6.10 bis 1.6.13) wurden etwa 1.000 Mal heruntergeladen. Ähnliche Schwachstellen wurden in den folgenden Gems-Paketen gefunden: coming-soon and cron_parser.
Die Komponente bb-builder stahl Anmeldedaten von Rechnern, auf denen sie installiert war, und sendete die Daten an einen Remote-Server.
Ein Sicherheitsunternehmen hat drei schädliche Python-Bibliotheken gefunden – libpeshnx, libpesh, and libari – die in den offiziellen Python Package Index (PyPI) hochgeladen wurden und eine versteckte Backdoor enthielten. Diese wurde aktiviert, wenn die Bibliotheken auf Linux-Systemen installiert wurden.
Dieser Angriff erfolgt über die Ausführung von Remote-Code in Anwendungen, die die Komponente strong_password verwenden oder bündeln. Bei diesem Angriff kompromittierte der Hacker die Komponente und ihre Abhängigkeiten, um den Gem-Betreiber auszusperren.
Ein npm-Paket enthielt Code zum Diebstahl von Kryptowährungs-Wallet-Seeds und weiteren Anmeldedaten für Kryptowährungs-Apps. Die Macher des Kryptowährungs-Wallets Agama wurden von npm-Forschern gewarnt und konnten Währung im Wert von 13 Mio. $ verlagern, bevor etwaige Diebe zuschlagen konnten.
Die Pakete wurden aus dem öffentlichen Repository entfernt, da sie Code für Krypto-Mining oder Diebstahl von Cookies/Passwörtern aufwiesen.
Eine schädliche Version des beliebten Pakets bootstrap-sass , das zu diesem Zeitpunkt insgesamt 28 Millionen Mal heruntergeladen wurde und 1.600 Abhängigkeiten aufweist, wird auf dem RubyGems-Repository veröffentlicht.
Der Schadcode event-stream zielt auf die Anwendung Copay ab und wurde entwickelt, um Kontodaten und private Schlüssel von Konten mit einem Saldo von mehr als 100 Bitcoin oder 1.000 Bitcoin Cash zu erfassen.
Ein Hacker verschafft sich Zugriff auf das npm-Konto eines Entwicklers und injiziert bösartigen Code in eine beliebte JavaScript-Bibliothek namens eslint-scope, , einem Sub-Modul des bekannteren ESLint, , einem Analyse-Toolkit für JavaScript-Code.
Ein Github-API-Token, das über die Jenkins-Instanz von Homebrew geleakt wurde, verschaffte einem Sicherheitsforscher Zugang zu den Software-Repositorys von Homebrew.
„Wenn ich ein Angreifer wäre, hätte ich eine kleine, wahrscheinlich unbemerkte Änderung an der OpenSSL-Formel vornehmen können, sodass eine Backdoor auf jedem betroffenen Rechner installiert worden wäre“, erklärt Sicherheitsforscher Eric Holmes.
Unbekannte Personen erlangten Kontrolle über Github Gentoo und änderten den Inhalt von Repositorys sowie darin enthaltener Seiten – der gesamte Code gilt als kompromittiert.
Das npm-Sicherheitsteam reagiert auf Berichte über das Paket getcookies , das Schadcode enthielt, mit dem Remote-Benutzer beliebigen Code auf Servern ausführen können. Die Untersuchung ergab zudem, dass ein bestehendes Paket namens mailparser begann, http-fetch-cookies als Abhängigkeit aufzuführen. Obwohl Mailparser mittlerweile veraltet ist, wird es dennoch ca. 64.000 Mal pro Woche heruntergeladen.
Im Python-Modul ssh-decorator wurde eine Backdoor entdeckt, die die SSH-Anmeldedaten von Benutzern sammelte und die Daten anschließend an einen Remote-Server sendete.
Nachdem ein Entwickler sein go-bindata -GitHub-Konto gelöscht hatte, wurde die ID umgehend von einem Unbekannten gekapert – inklusive des zugehörigen Karmas, wodurch er Pakete und Quellen infrage stellen konnte.
Eine schädliche Paketversion eines Hauptbeteiligten am conventional-changelog -Ökosystem wird veröffentlicht. Das Paket wurde in 35 Stunden 28.000-mal installiert und führte zum Mining der Kryptowährung Monero.
David Gilbertson schreibt in seinem Blog eine fiktive Geschichte über die Erstellung eines schädlichen npm-Pakets.
Es wurden zehn schädliche Python-Pakete mit absichtlich falsch geschrieben Namen zur Täuschung von Benutzern entdeckt. Die Implementierung der gefälschten Pakete in Software konnte mehrere Male zwischen Juni und Sept. 2017 nachgewiesen werden.
39 Pakete, die im Laufe von zwei Wochen unbemerkt abgefangen, wobei Anmeldedaten gesammelt wurden, die für Veröffentlichungen im npm-Repository selbst verwendet wurden.
Betraf den Zugriff auf 14 % des npm-Repository (79.000 Pakete). Folglich setzte npm die Passwörter und Auth-Token von mehr als 1.000 Entwicklern zurück.
Username docker123321 lud Container-Images mit Backdoor hoch, die zur Installation von Reverse Shells und Kryptowährungs-Minern auf den Servern der Benutzer verwendet wurden. Die Images wurden erst im Juni 2018 entfernt. Derselbe Benutzername wurde später verdächtigt, einen Honeypot von Kubernetes „vergiftet“ zu haben (Januar 2018), und als Krypto-Mining-Botnetz deklariert (Mai 2018).
Der Bericht von Sonatype verknüpft ein breites Spektrum an Daten und liefert auf diese Weise aussagekräftige Erkenntnisse über Open-Source-Ansätze und deren zunehmende Bedeutung im Hinblick auf die digitale Innovation.
Erfahren Sie, wie sich ständig weiterentwickelnde künstliche Intelligenz und maschinelles Lernen sowie 65 Experten von Weltrang, die gemeinsam über 500 Jahre an Erfahrung mitbringen, die branchenweit besten Daten hervorbringen.
Laufen Sie Gefahr, Opfer von Software-Supply-Chain-Hacks zu werden? Testen Sie KOSTENLOS den Nexus Vulnerability Scanner und finden Sie heraus, ob Ihre Software Open-Source-Sicherheitslücken aufweist.
Bereit, Sonatype auszuprobieren?
Schützen und automatisieren Sie Ihre Software-Supply-Chain.
