Erfolgreicher Phishing-Angriff auf NPM – mit geringem Profit für die Hacker
Diese nutzten die Gelegenheit, um 18 sehr beliebte NPM-Pakete mit Schadcode zu infizieren, darunter chalk und degub-js. Insgesamt werden diese Pakete pro Woche rund 2,6 Millionen Mal heruntergeladen. Die so verbreitete Malware sollte sogenanntes Crypto-Jacking ermöglichen. Laut einer Analyse von Security Alliance zielte der injizierte Code auf Browserumgebungen ab, indem er Ethereum- und Solana-Signaturanfragen abfing und Kryptowährungs-Wallet-Adressen durch solche ersetzte, die von den Angreifern kontrolliert wurden.
Der Angriff wurde sehr schnell innerhalb von nur zwei Stunden entdeckt und die betroffenen NPM-Pakete wurden zurückgezogen, doch auch in dieser kurzen Zeit hatten bereits rund 10 Prozent der Cloud-Umgebungen die kompromittierten Dateien heruntergeladen. Hätte es sich bei der verbreiteten Malware um Ransomware oder eine andere Art Schädling gehandelt, hätte der Angriff gigantische Schäden verursachen können – was er jedoch dank der Krypto-Jacking-Taktik der Angreifer nicht tat.
Denn trotz des riesigen Ausmaßes des Angriffs mussten sich die Angreifer mit etwas mehr als 1.000 mageren US-Dollar zufriedengeben. Dabei handelt es sich um Ethereum im Wert von fünf Cent und etwa 20 Dollar einer praktisch unbekannten Memecoin. Da der Angriff offenbar auch das Konto des DuckDB-Maintainer-Accounts beeinträchtigte und die Pakete des Projekts mit demselben Kryptowährungs-Diebstahlcode kompromittierte, kamen auf diesem Weg noch etwa 429 US-Dollar in Ethereum, 46 US-Dollar in Solana und kleine Beträge in BTC, Tron, BCH und LTC mit einem Gesamtwert von 600 US-Dollar zusammen. Ob und wie die Angreifer an dieses Geld herankommen ist fraglich, denn die entsprechenden Wallets wurden gemeldet und damit quasi unbrauchbar.
Nach etwa zwei Stunden war der Zauber bereits vorbei und die betroffenen Versionen der Pakete wurden aus dem NPM-Registry entfernt. Eine Liste der kompromittierten Pakete steht zur Verfügung und Entwickler sollten überprüfen, ob diese in ihren Projekten zum Einsatz kommen. Entsprechende Tools und Anleitungen stehen zur Verfügung.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden SOC-Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 (6321) 484460
E-Mail: redaktion@8com.de
