MÜNCHEN (IT BOLTWISE) – In der Welt der Softwareentwicklung ist Vertrauen ein entscheidender Faktor, insbesondere wenn es um Open-Source-Pakete geht. Doch genau dieses Vertrauen wird derzeit von Cyberkriminellen ausgenutzt, die es auf PayPal-Nutzer abgesehen haben.
FortiGuard Labs, die auf KI basierende Bedrohungsintelligenz-Abteilung von Fortinet, hat eine Reihe bösartiger NPM-Pakete entdeckt, die darauf abzielen, sensible Informationen von Entwicklern zu stehlen und PayPal-Nutzer zu kompromittieren. Diese Pakete wurden zwischen dem 5. und 14. März 2025 von einem Bedrohungsakteur veröffentlicht, der unter den Pseudonymen „tommyboy_h1“ und „tommyboy_h2“ agiert, wobei angenommen wird, dass es sich um dieselbe Person handelt.
Die bösartigen Pakete, darunter Namen wie oauth2-paypal und buttonfactoryserv-paypal, nutzen die vertrauenswürdige Marke PayPal aus, um Entwickler zu täuschen und zur Installation zu verleiten. Durch die Nachahmung legitimer PayPal-bezogener Funktionen wird ein falsches Gefühl der Legitimität erzeugt, was die Wahrscheinlichkeit erhöht, dass diese Pakete unentdeckt bleiben.
Nach der Installation führen sie einen Preinstall-Hook aus, der automatisch ein bösartiges Skript startet, das Systemdaten wie Benutzernamen, Hostnamen und Verzeichnispfade sammelt, ohne dass der Benutzer davon Kenntnis hat. Die Analyse von FortiGuard Labs zeigt, dass das Skript die gestohlenen Daten in ein Hexadezimalformat kodiert, sie durch das Aufteilen und Kürzen von Verzeichnispfaden verschleiert und sie über dynamisch generierte URLs an servergesteuerte Server sendet.
Diese Verschleierung erschwert es Sicherheitstools, die Exfiltration zu erkennen oder zu blockieren. Die gesammelten Informationen könnten verwendet werden, um PayPal-Konten zu kompromittieren, weitere Angriffe zu starten oder im Dark Web verkauft zu werden.
Die Kampagne ist bemerkenswert in ihrem Umfang, da der Bedrohungsakteur in kurzer Zeit zahlreiche Pakete veröffentlicht hat. Beispiele sind oauth2-paypal v699.0.0, buttonfactoryserv-paypal v3.50.0 und tommyboytesting-Varianten, die alle identischen bösartigen Code aufweisen. Die Pakete zielen auf kleine bis mittelgroße Unternehmen und Entwickler ab und nutzen das Vertrauensmodell des Open-Source-Ökosystems aus.
FortiGuard AntiVirus hat die bösartigen Dateien als Bash/TommyBoy.A!tr markiert, darunter Pakete wie bankingbundleserv_1.20.0, buttonfactoryserv-paypal_3.50.0 und 3.99.0, oauth2-paypal (mehrere Versionen, z.B. 0.6.0, 699.0.0) und compliancereadserv-paypal_2.1.0.
FortiGuard Labs rät Organisationen und Entwicklern, NPM-Pakete zu überprüfen und solche mit verdächtigen Namen wie „paypal“ zu vermeiden. Es wird empfohlen, Netzwerkprotokolle auf unerwartete Verbindungen zu unbekannten Servern zu überwachen, erkannte bösartige Pakete zu entfernen, kompromittierte Anmeldeinformationen zu ändern und Systeme auf zusätzliche Bedrohungen zu scannen. Sicherheitssoftware sollte aktualisiert werden, um die neuesten Schutzmaßnahmen von Fortinet zu nutzen.
☕︎ Unterstütze IT BOLTWISE® und trete unserem exklusiven KI-Club bei - für nur 1,99 Euro im Monat:
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Technical Project Manager & Architect - Künstliche Intelligenz (m/w/d)
Student für künstliche Intelligenz – dualer Bachelorstudiengang (m/w/d)
Duales Studium: B.Sc. Data Science & Künstliche Intelligenz (m/w/d), Start 2025, Immenstaad
KI / AI and Digital Workplace Trainer (m/w/d)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Gefährliche NPM-Pakete zielen auf PayPal-Nutzer ab" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Gefährliche NPM-Pakete zielen auf PayPal-Nutzer ab" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Gefährliche NPM-Pakete zielen auf PayPal-Nutzer ab« bei Google Deutschland suchen, bei Bing oder Google News!