Datenklau

Angriff auf npm: Malware stiehlt Chrome-Passwörter

Google Chrome
Bildquelle: PixieMe/Shutterstock.com
LinkedInRedditWhatsAppPocket

Das npm-Ökosystem, das täglich von Millionen von Entwicklern weltweit genutzt wird, ist erneut ins Visier von Cyberkriminellen geraten. Sicherheitsexperten von JFrog haben acht bösartige Pakete identifiziert, die darauf programmiert waren, Nutzerdaten aus dem Chrome-Browser von Windows-Systemen zu extrahieren.

Auffällig an dieser Attacke ist die kluge Tarnung der Schadsoftware. Die Angreifer setzten eine mehrstufige Verschleierung ein, die aus mehr als 70 Ebenen versteckten Codes bestand. Diese Technik machte es herkömmlichen Sicherheitstools nahezu unmöglich, die wahre Natur der Pakete zu erkennen. Die betroffenen Pakete trugen Namen wie “react-sxt” (Version 2.4.1), “react-typex” (Version 0.1.0) und “react-native-control” (Version 2.4.1).

Anzeige

Umfangreicher Datenklau als Ziel

Sobald die Pakete auf einem Entwicklersystem installiert wurden, begann die Malware automatisch mit ihrer destruktiven Arbeit. Ohne jegliche Nutzerinteraktion verschaffte sie sich Zugriff auf verschiedenste Chrome-Browserdaten:

Die Software extrahierte systematisch Passwörter, Kreditkartendaten, Browser-Cookies sowie Informationen zu Kryptowährungs-Wallets aus sämtlichen Benutzerprofilen des betroffenen Systems. Um einer Entdeckung zu entgehen, nutzte die Malware verschiedene Umgehungstechniken, darunter Schattenkopie-Bypässe und LSASS-Identitätswechsel.

Railway-Infrastruktur als Datensammelstelle

Die gestohlenen Informationen wurden anschließend an Server übertragen, die von den Angreifern kontrolliert wurden. Dabei nutzten die Kriminellen auch die Infrastruktur des Cloud-Anbieters Railway, um ihre illegalen Aktivitäten zu verschleiern.

Anzeige

Guy Korolevski, der als Sicherheitsforscher bei JFrog tätig ist, warnt vor der wachsenden Bedrohung durch Supply-Chain-Angriffe. Open-Source-Repositorys würden zunehmend als Einfallstor für Cyberkriminelle genutzt, die sich durch Typosquatting und andere Täuschungsmanöver als vertrauenswürdige Anbieter ausgeben.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Schnelle Reaktion und Schutzmaßnahmen

Nach der Meldung durch JFrog reagierte npm umgehend und entfernte die schädlichen Pakete aus dem Repository. Zusätzlich wurde das JFrog Xray-System aktualisiert, um ähnliche Bedrohungen künftig besser erkennen zu können.

Entwickler, die möglicherweise eines der betroffenen Pakete heruntergeladen haben, sollten umgehend ihre Anmeldedaten ändern und ihre Systeme auf verdächtige Aktivitäten überprüfen. Experten empfehlen zudem den Einsatz automatisierter Sicherheitslösungen, die die gesamte Software-Lieferkette überwachen können.

(lb/Jfrog)


Anzeige

Weitere Artikel

Nach Sicherheitspanne: Paypal will Händler auszahlen
Arbeitslosigkeit in Deutschland durchbricht Drei-Millionen-Marke
Homeoffice stagniert – Branchen bleiben gespalten
CrowdStrike übernimmt Onum für 290 Millionen Dollar
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.