MÜNCHEN (IT BOLTWISE) – In der Welt der Softwareentwicklung sind Sicherheitslücken in der Lieferkette ein wachsendes Problem. Jüngste Entdeckungen zeigen, wie Angreifer npm-Pakete nutzen, um Linux-Systeme zu kompromittieren.
Die Entdeckung von drei bösartigen npm-Paketen, die sich als beliebte Telegram-Bot-Bibliothek tarnen, hat die Sicherheitsgemeinschaft alarmiert. Diese Pakete, die auf den ersten Blick harmlos erscheinen, enthalten jedoch SSH-Hintertüren und Funktionen zur Datenexfiltration. Die Sicherheitsfirma Socket hat diese Pakete identifiziert, die sich als node-telegram-bot-api ausgeben, eine weit verbreitete Node.js-Bibliothek mit über 100.000 wöchentlichen Downloads.
Obwohl diese Zahl im Vergleich zu anderen Bibliotheken bescheiden erscheinen mag, reicht bereits ein kompromittiertes Umfeld aus, um weitreichende Sicherheitsverletzungen zu verursachen. Wie der Sicherheitsforscher Kush Pandya betont, zeigen Vorfälle in der Lieferkettensicherheit immer wieder, dass selbst wenige Installationen katastrophale Folgen haben können, insbesondere wenn Angreifer direkten Zugriff auf Entwickler- oder Produktionssysteme erlangen.
Die bösartigen Pakete ahmen nicht nur die Beschreibung der legitimen Bibliothek nach, sondern nutzen auch eine Technik namens Starjacking, um ihre Authentizität zu erhöhen und ahnungslose Entwickler zu täuschen. Starjacking bezieht sich auf eine Methode, bei der ein Open-Source-Paket populärer gemacht wird, indem es mit dem GitHub-Repository der legitimen Bibliothek verknüpft wird, was die fehlende Validierung der Beziehung zwischen Paket und Repository ausnutzt.
Die Analyse von Socket ergab, dass die Pakete speziell für Linux-Systeme entwickelt wurden und zwei SSH-Schlüssel zur Datei „~/.ssh/authorized_keys“ hinzufügen, wodurch Angreifer dauerhaften Fernzugriff auf den Host erhalten. Das Skript ist darauf ausgelegt, den Systembenutzernamen und die externe IP-Adresse zu sammeln, indem es „ipinfo[.]io/ip“ kontaktiert. Es sendet auch ein Signal an einen externen Server („solana.validator[.]blog“), um die Infektion zu bestätigen.
Besonders heimtückisch ist, dass das Entfernen dieser Pakete die Bedrohung nicht vollständig beseitigt, da die eingefügten SSH-Schlüssel den Angreifern ungehinderten Fernzugriff für nachfolgende Codeausführungen und Datenexfiltration ermöglichen. Diese Enthüllung kommt zu einem Zeitpunkt, da Socket ein weiteres bösartiges Paket namens @naderabdi/merchant-advcash detailliert beschreibt, das darauf ausgelegt ist, eine Reverse-Shell zu einem entfernten Server zu starten, während es sich als Volet-Integration tarnt.
Das Paket @naderabdi/merchant-advcash enthält fest codierte Logik, die eine Reverse-Shell zu einem entfernten Server öffnet, sobald ein Zahlungserfolgshandler aufgerufen wird. Es ist als Dienstprogramm für Händler getarnt, um Kryptowährungs- oder Fiat-Zahlungen zu empfangen, zu validieren und zu verwalten. Im Gegensatz zu vielen bösartigen Paketen, die Code während der Installation oder des Imports ausführen, wird diese Nutzlast bis zur Laufzeit verzögert, insbesondere nach einer erfolgreichen Transaktion. Dieser Ansatz kann helfen, die Erkennung zu umgehen, da der bösartige Code nur unter bestimmten Laufzeitbedingungen ausgeführt wird.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
KI Experte (m/w/d) / Software Entwickler C++ (m/w/d)
(Senior) Cloud Manager (m/w/d) Schwerpunkt KI
Duales Studium BWL - Spezialisierung Artificial Intelligence (B.A.) am Campus oder virtuell
Lead Consultant AI (all genders)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Gefährliche npm-Pakete: SSH-Hintertüren auf Linux-Systemen entdeckt" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Gefährliche npm-Pakete: SSH-Hintertüren auf Linux-Systemen entdeckt" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Gefährliche npm-Pakete: SSH-Hintertüren auf Linux-Systemen entdeckt« bei Google Deutschland suchen, bei Bing oder Google News!