Wie stellen Entwickler:innen eigentlich sicher, dass npm-Pakete frei von Schadcode sind?
Vergangene Woche hat das Security-Team des JavaScript-Paketmanagers npm eine Warnung herausgegeben, dass zwei populäre Packages von Angreifer:innen gekapert und mit Malware infiziert worden waren. Betroffen waren die Pakete Coa und RC. Dabei handelt es sich jeweils um Packages mit insgesamt etwa 23 Millionen wöchentlichen Downloads. Die eingeschleuste Malware stiehlt anscheinend Passwörter. Beide Pakete wurden etwa zur selben Zeit kompromittiert. Angreifer:innen hatten sich Zugang zum Account eines npm-Entwicklers verschafft und jeweils der betreffenden Codebase ein Post-Installation-Skript hinzugefügt. Das Skript führt offenbar obfusciertes TypeScript aus, das nach OS-Details sucht und einen Windows-Batch oder ein Linux-Bash-Skript herunterlädt. Eine Untersuchung des Windows-Batch-Skripts hat offenbar ergeben, dass die kompromittierten Pakete eine sogenannte DLL-Datei downloaden und ausführen. Laut Windows Defender enthält diese eine Version eines Trojaners namens Qakbot, der Informationen von infizierten Systemen stiehlt.
- Sofort-Zugriff auf die exklusiven Briefings
- Digitaler Zugang zu allen Ausgaben des t3n Magazins
- Guides und Surveys im Wert von bis zu 396 Euro inklusive
- Exklusive Sessions mit t3n und Digital-Expert*innen
Du bist bereits Pro-Member? Hier anmelden
Als Redakteurin befasst sich Kathrin mit allen Themen rund um Entwicklung & Design.