MÜNCHEN (IT BOLTWISE) – In der Welt der Softwareentwicklung sind Sicherheitsbedrohungen allgegenwärtig. Ein aktuelles Beispiel zeigt, wie ein scheinbar harmloses NPM-Paket, das sich als Tool zur Erkennung von Schwachstellen in Ethereum-Smart-Contracts ausgibt, in Wirklichkeit ein gefährliches Schadprogramm verbreitet.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Die Entdeckung eines bösartigen Pakets im npm-Registry, das sich als Bibliothek zur Erkennung von Schwachstellen in Ethereum-Smart-Contracts tarnt, hat die Entwicklergemeinde alarmiert. Tatsächlich handelt es sich um ein Werkzeug zur Verbreitung des Open-Source-Trojaners Quasar RAT. Das Paket, bekannt unter dem Namen ethereumvulncontracthandler, wurde am 18. Dezember 2024 von einem Benutzer namens “solidit-dev-416” veröffentlicht und ist weiterhin verfügbar. Bisher wurde es 66 Mal heruntergeladen.
Bei der Installation lädt das Paket ein bösartiges Skript von einem entfernten Server herunter und führt es unbemerkt aus, um den Trojaner auf Windows-Systemen zu installieren. Der Sicherheitsforscher Kirill Boychenko von Socket erklärte in einer Analyse, dass der Schadcode stark verschleiert ist und Techniken wie Base64- und XOR-Codierung sowie Minifizierung nutzt, um Analysen und Erkennungsversuche zu erschweren.
Der Trojaner Quasar RAT, der erstmals 2014 auf GitHub veröffentlicht wurde, wird sowohl für Cyberkriminalität als auch für Spionagekampagnen eingesetzt. Er etabliert Persistenz durch Änderungen in der Windows-Registry und kommuniziert mit einem Command-and-Control-Server, um Anweisungen zu erhalten und Informationen zu exfiltrieren. Der Bedrohungsakteur nutzt diesen Server auch, um infizierte Maschinen zu katalogisieren und mehrere kompromittierte Hosts gleichzeitig zu verwalten.
Diese Enthüllung fällt mit einer neuen Studie zusammen, die von Socket in Zusammenarbeit mit Akademikern der Carnegie Mellon University und der North Carolina State University durchgeführt wurde. Die Studie zeigt einen rasanten Anstieg von gefälschten “Sternen”, die genutzt werden, um die Popularität von mit Malware verseuchten GitHub-Repositories künstlich zu erhöhen. Diese Praxis ist nicht neu, aber die Forschung zeigt, dass die Mehrheit der gefälschten Sterne zur Förderung kurzlebiger Malware-Repositories verwendet wird, die sich als Pirateriesoftware, Spiel-Cheats und Kryptowährungs-Bots ausgeben.
Die Forscher fanden heraus, dass der “offene” Schwarzmarkt hinter etwa 4,5 Millionen gefälschten Sternen von 1,32 Millionen Konten steckt, die sich über 22.915 Repositories erstrecken. Diese Praxis zeigt das Ausmaß des Problems. GitHub hat erklärt, dass es sich des Problems seit Jahren bewusst ist und aktiv daran arbeitet, gefälschte Sterne von der Plattform zu entfernen.
Die Ergebnisse unterstreichen, dass die Anzahl der Sterne allein kein zuverlässiges Signal für die Qualität oder den Ruf von GitHub-Repositories ist und nicht ohne weitere Überprüfung verwendet werden sollte. Die Forscher schlagen vor, dass GitHub eine gewichtete Metrik zur Signalisierung der Popularität von Repositories einführen könnte, die schwerer zu fälschen ist.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Gefälschte NPM-Pakete bedrohen Ethereum-Entwickler mit Quasar RAT".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Gefälschte NPM-Pakete bedrohen Ethereum-Entwickler mit Quasar RAT" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Gefälschte NPM-Pakete bedrohen Ethereum-Entwickler mit Quasar RAT" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.