ClickCease Vorsicht vor 48 bösartigen npm-Paketen, die Reverse Shells bereitstellen

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Vorsicht vor 48 bösartigen npm-Paketen, die Reverse Shells bereitstellen

Rohan Timalsina

17. November 2023. TuxCare-Expertenteam

Vor kurzem wurden 48 bösartige npm-Pakete im npm-Repository entdeckt. Diese trickreichen Pakete haben die Fähigkeit, eine Reverse Shell auf kompromittierten Systemen zu installieren, was ein ernstes Problem darstellt.

Was diese Situation noch alarmierender macht, ist die Tatsache, dass diese Pakete so getarnt waren, dass sie legitim aussahen. Sie enthielten verschleierten JavaScript-Code, der dazu diente, eine Reverse Shell zu starten, sobald man sie installiert. Diese Enthüllung stammt von Phylum, einem Sicherheitsunternehmen für die Software-Lieferkette, das ein Auge auf diese hinterhältigen Pakete geworfen hat.

 

Details zum Angriff

 

Die Person, die hinter diesen betrügerischen npm-Paketen steckt, trägt auf npm und GitHub den Namen hktalent. Während wir dies schreiben, sind zwei von dieser Person hochgeladene Pakete immer noch zum Download verfügbar. Das bedeutet, dass es immer noch potenzielle Bedrohungen da draußen gibt.

Wie funktioniert dieser Angriff also? Sobald Sie eines dieser Pakete installieren, wird eine versteckte Falle aktiviert. Diese Falle hat die Form eines Installationshakens in der package.json-Datei, der einen JavaScript-Code ausführt. Dieser Code stellt heimlich eine Reverse-Shell-Verbindung zu rsh.51pwn[.]com her, einem vom Angreifer kontrollierten Server. Wenn Sie diesem Schema zum Opfer fallen, könnte Ihr System gefährdet sein.

Phylum stellte fest, dass der Angreifer eine Kombination aus harmlos klingenden Paketnamen und mehreren Verschleierungsschichten verwendete, um die Reverse Shell heimlich einzusetzen. Diese clevere Taktik zielt darauf ab, ahnungslose Benutzer zu überrumpeln.

Aber das ist noch nicht alles. In einer weiteren besorgniserregenden Enthüllung kam ans Licht, dass zwei im Python Package Index (PyPI) veröffentlichte Pakete nicht das waren, was sie zu sein schienen. Diese Pakete mit den Namen localization-utils und locute gaben vor, hilfreiche Werkzeuge für die Internationalisierung zu sein, verfolgten aber eine versteckte Absicht. Sie enthielten bösartigen Code, der darauf ausgelegt war, sensible Daten aus der Telegram Desktop-Anwendung zu stehlen und Systeminformationen zu sammeln.

Das Tückische dabei ist, dass diese Pakete ihre endgültige bösartige Nutzlast von einer dynamisch generierten Pastebin-URL abrufen und die gestohlenen Informationen an einen Kanal senden, der von einem unbekannten Akteur auf Telegram kontrolliert wird. Das bedeutet, dass Sie, selbst wenn Sie denken, dass Sie legitime Pakete herunterladen, Ihre Daten unwissentlich Cyberkriminellen preisgeben könnten.

 

Schlussfolgerung

 

Es ist wichtig zu verstehen, dass Bedrohungsakteure zunehmend auf Open-Source-Umgebungen abzielen. Sie sehen in diesen Plattformen eine Möglichkeit, Angriffe auf die Lieferkette durchzuführen, die zahlreiche Nutzer auf einmal schädigen können. Dies ist eine ernüchternde Erinnerung daran, wie wichtig das Vertrauen in die Open-Source-Gemeinschaft ist.

Wenn Sie also die Welt der Open-Source-Software erkunden, sollten Sie immer vorsichtig sein, die Glaubwürdigkeit der Pakete und ihrer Autoren prüfen und auf verdächtige Aktivitäten achten. Ihre Cybersicherheit liegt in Ihren Händen!

 

Zu den Quellen für diesen Artikel gehört ein Artikel von TheHackerNews.

Zusammenfassung
Vorsicht vor bösartigen npm-Paketen, die Reverse Shells bereitstellen
Artikel Name
Vorsicht vor bösartigen npm-Paketen, die Reverse Shells bereitstellen
Beschreibung
Entdecken Sie die Gefahr von 48 bösartigen npm-Paketen, die Reverse Shells einsetzen. Bleiben Sie wachsam für die Cybersicherheit in Open-Source-Software.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter