Malicious npm Packages Target Crypto Keys and Secrets

Cybersecurity-Forscher haben eine aktive Kampagne entdeckt, die als "SANDWORM_MODE" bezeichnet wird und mindestens 19 schadhafte npm-Pakete nutzt, um Anmeldeinformationen und Kryptowährungs-Schlüssel zu stehlen. Diese Kampagne wurde von der Sicherheitsfirma Socket identifiziert und ist Teil einer größeren Bedrohung, die als "Shai-Hulud-like" bezeichnet wird. Die schadhafte Software ist darauf ausgelegt, in die Lieferkette von Softwareprojekten einzudringen und sensible Daten zu ernten. Die schädlichen Pakete wurden in verschiedenen Projekten verwendet, was die Verbreitung und den Erfolg der Angriffe erleichtert. Forscher berichten, dass die Angreifer gezielt nach API-Tokens und CI-Geheimnissen suchen, die in den betroffenen Projekten gespeichert sind.

Diese Informationen können dann für weitere Angriffe oder den Zugriff auf Kryptowährungs-Wallets verwendet werden. Die Kampagne nutzt Techniken, die bereits in früheren Angriffswellen beobachtet wurden, um die Integrität von Softwareprojekten zu gefährden. Die schadhafte Software wird oft als legitime Abhängigkeit getarnt, was es Entwicklern erschwert, die Bedrohung zu erkennen. Socket hat die betroffenen Pakete identifiziert und empfiehlt, diese sofort aus Projekten zu entfernen. Die Sicherheitsfirma hat auch darauf hingewiesen, dass die Angreifer möglicherweise versuchen, ihre Aktivitäten zu verschleiern, indem sie die Namen der Pakete regelmäßig ändern.

Dies könnte es für Entwickler noch schwieriger machen, die schädlichen Pakete zu identifizieren und zu entfernen. Die Forscher raten dazu, regelmäßig die Abhängigkeiten von Projekten zu überprüfen und Sicherheitsupdates zeitnah zu implementieren. Die Auswirkungen dieser Angriffe können erheblich sein, insbesondere für Unternehmen, die auf Open-Source-Software angewiesen sind. Die Ernte von Anmeldeinformationen und API-Tokens kann zu Datenverlust und finanziellen Schäden führen. Socket hat betont, dass die Sicherheit von Softwareprojekten eine gemeinsame Verantwortung ist und Entwickler proaktive Maßnahmen ergreifen sollten, um sich zu schützen.

Die Kampagne "SANDWORM_MODE" ist nicht die erste ihrer Art, und ähnliche Angriffe wurden in der Vergangenheit dokumentiert. Die Forscher warnen, dass solche Bedrohungen in Zukunft zunehmen könnten, da immer mehr Unternehmen auf Cloud-Dienste und Open-Source-Lösungen setzen. Die Notwendigkeit, Sicherheitspraktiken zu verbessern, wird als dringlich erachtet. Socket hat eine Liste der betroffenen npm-Pakete veröffentlicht, die Entwickler konsultieren sollten, um sicherzustellen, dass ihre Projekte nicht gefährdet sind. Die Sicherheitsfirma empfiehlt, alle Pakete, die in der Liste aufgeführt sind, sofort zu überprüfen und gegebenenfalls zu entfernen.

genaue Anzahl der betroffenen Projekte ist derzeit unbekannt, aber die Forscher schätzen, dass mehrere Tausend Entwickler potenziell gefährdet sind. Die Sicherheitslage wird weiterhin genau beobachtet, und es wird erwartet, dass weitere Informationen über die Angreifer und deren Methoden veröffentlicht werden. Die Forscher arbeiten daran, die Bedrohung zu analysieren und geeignete Gegenmaßnahmen zu entwickeln. Die Kampagne könnte auch Auswirkungen auf die gesamte Open-Source-Community haben, da sie das Vertrauen in die Sicherheit von npm-Paketen untergräbt. Die Sicherheitsfirma Socket plant, in den kommenden Wochen weitere Updates zu veröffentlichen, um die Community über neue Entwicklungen und empfohlene Sicherheitspraktiken zu informieren. Entwickler werden aufgefordert, wachsam zu bleiben und ihre Sicherheitsrichtlinien regelmäßig zu überprüfen. Die genaue Anzahl der betroffenen npm-Pakete beträgt derzeit 19.