Hacker haben beliebte JavaScript-Softwarebibliotheken kompromittiert. Diese Manipulation wird als der größte Lieferketten-Angriff der Geschichte bezeichnet. Die eingeschleuste Malware soll dem Zweck dienen, Kryptowährungen zu stehlen, indem sie Wallet-Adressen austauscht und Transaktionen abfängt.
Mehreren Berichten vom Montag zufolge haben Hacker sich Zugang zum Node Package Manager (NPM)-Konto eines bekannten Entwicklers verschafft und heimlich Malware zu beliebten JavaScript-Bibliotheken hinzugefügt, die von Millionen von Apps verwendet werden.
Der bösartige Code tauscht oder kapert Krypto-Wallet-Adressen aus, wodurch möglicherweise viele Projekte gefährdet werden.
„Derzeit findet ein groß angelegter Angriff auf die Lieferkette statt: Das NPM-Konto eines renommierten Entwicklers wurde kompromittiert“, warnte Charles Guillemet, Chief Technology Officer von Ledger, am Montag. „Die betroffenen Pakete wurden bereits über 1 Milliarde Mal heruntergeladen, was bedeutet, dass das gesamte JavaScript-Ökosystem gefährdet sein könnte.“
Der Angriff richtete sich gegen Pakete wie chalk, strip-ansi und color-convert – kleine Dienstprogramme, die tief in den Abhängigkeitsbäumen unzähliger Projekte verborgen sind. Zusammen werden diese Bibliotheken mehr als eine Milliarde Mal pro Woche heruntergeladen, was bedeutet, dass selbst Entwickler, die sie nie direkt installiert haben, gefährdet sein könnten.
NPM ist wie ein App Store für Entwickler – eine zentrale Bibliothek, in der sie kleine Code-Pakete austauschen und herunterladen können, um JavaScript-Projekte zu erstellen.
Die Angreifer scheinen einen Crypto-Clipper eingesetzt zu haben, eine Art von Malware, die während Transaktionen unbemerkt Wallet-Adressen ersetzt, um Gelder umzuleiten.
Sicherheitsforscher warnten, dass Nutzer, die sich auf Software-Wallets verlassen, besonders gefährdet sein könnten, während diejenigen, die Transaktionen auf einer Hardware-Wallet bestätigen, geschützt sind.
Nutzer sollten Krypto-Transaktionen vermeiden
Laut einem X-Beitrag von DefiLlama-Gründer Oxngmi leert der bösartige Code nicht automatisch die Wallets – die Nutzer müssten eine fehlerhafte Transaktion weiterhin genehmigen.
Da das gehackte JavaScript-Paket die Reaktion auf einen Klick auf eine Schaltfläche verändern kann, könnte ein Klick auf die Schaltfläche „Swap“ auf einer betroffenen Website dazu führen, dass die Transaktionsdaten ausgetauscht und Gelder stattdessen an den Hacker gesendet werden.
Er fügte hinzu, dass nur Projekte gefährdet sind, die nach der Veröffentlichung des kompromittierten Pakets aktualisiert wurden, und dass viele Entwickler ihre Abhängigkeiten „festpinnen”, damit sie weiterhin ältere, sichere Versionen verwenden.
Da Nutzer jedoch nicht ohne Weiteres erkennen können, welche Websites sicher aktualisiert wurden, ist es am besten, die Nutzung von Krypto-Websiten zu vermeiden, bis die betroffenen Pakete bereinigt sind.
Angreifer erhalten über Phishing-Mails Zugriff auf NPM-Maintainer-Konten
Angreifer versendeten E-Mails, in denen sie sich als offizieller NPM-Support ausgaben und die Administratoren warnten, dass ihre Konten gesperrt würden, wenn sie nicht bis zum 10. September die Zwei-Faktor-Authentifizierung „aktualisieren“ würden.
Die gefälschte Website erfasste die Anmeldedaten und verschaffte Hackern so die Kontrolle über das Konto eines Administrators. Einmal drinnen, schoben die Angreifer bösartige Updates auf Pakete mit Milliarden von wöchentlichen Downloads.
Charlie Eriksen, Forscher bei Aikido Security, erklärte gegenüber BleepingComputer, dass der Angriff besonders gefährlich sei, da er „auf mehreren Ebenen“ stattfinde: „Er verändert die auf Websites angezeigten Inhalte, manipuliert API-Aufrufe und manipuliert das, was die Apps der Benutzer glauben, dass sie unterschreiben.“
Dieser Beitrag ist ein öffentlicher RSS Feed. Sie finden den Original Post unter folgender Quelle (Website) .
Unser Portal ist ein RSS-Nachrichtendienst und distanziert sich vor Falschmeldungen oder Irreführung. Unser Nachrichtenportal soll lediglich zum Informationsaustausch genutzt werden.
