Auch Profis sind nicht davor gefeit, auf ausgeklügelte Phishing-Angriffe hereinzufallen. Das hat ein Vorfall in der vergangenen Woche eindrücklich bewiesen. Der Entwickler Josh Junon, auch bekannt unter dem Kürzel Qix, erhielt per E-Mail die Aufforderung, seine 2-Faktor-Authentifizierung für den NPM-Paket-Manager zurückzusetzen. Absender war eine gefälschte E-Mail-Adresse, die sich als NPM-Support getarnt hatte. Dieser Aufforderung kam Junon nach – und ermöglichte so den Angreifern Zugang zu seinem Konto.
Diese nutzten die Gelegenheit, um 18 sehr beliebte NPM-Pakete mit Schadcode zu infizieren, darunter chalk und degub-js. Insgesamt werden diese Pakete pro Woche rund 2,6 Millionen Mal heruntergeladen. Die so verbreitete Malware sollte sogenanntes Crypto-Jacking ermöglichen. Laut einer Analyse von Security Alliance zielte der injizierte Code auf Browserumgebungen ab, indem er Ethereum- und Solana-Signaturanfragen abfing und Kryptowährungs-Wallet-Adressen durch solche ersetzte, die von den Angreifern kontrolliert wurden.
Der Angriff wurde sehr schnell innerhalb von nur zwei Stunden entdeckt und die betroffenen NPM-Pakete wurden zurückgezogen, doch auch in dieser kurzen Zeit hatten bereits rund 10 Prozent der Cloud-Umgebungen die kompromittierten Dateien heruntergeladen. Hätte es sich bei der verbreiteten Malware um Ransomware oder eine andere Art Schädling gehandelt, hätte der Angriff gigantische Schäden verursachen können – was er jedoch dank der Krypto-Jacking-Taktik der Angreifer nicht tat.
Denn trotz des riesigen Ausmaßes des Angriffs mussten sich die Angreifer mit etwas mehr als 1.000 mageren US-Dollar zufriedengeben. Dabei handelt es sich um Ethereum im Wert von fünf Cent und etwa 20 Dollar einer praktisch unbekannten Memecoin. Da der Angriff offenbar auch das Konto des DuckDB-Maintainer-Accounts beeinträchtigte und die Pakete des Projekts mit demselben Kryptowährungs-Diebstahlcode kompromittierte, kamen auf diesem Weg noch etwa 429 US-Dollar in Ethereum, 46 US-Dollar in Solana und kleine Beträge in BTC, Tron, BCH und LTC mit einem Gesamtwert von 600 US-Dollar zusammen. Ob und wie die Angreifer an dieses Geld herankommen ist fraglich, denn die entsprechenden Wallets wurden gemeldet und damit quasi unbrauchbar.
Nach etwa zwei Stunden war der Zauber bereits vorbei und die betroffenen Versionen der Pakete wurden aus dem NPM-Registry entfernt. Eine Liste der kompromittierten Pakete steht zur Verfügung und Entwickler sollten überprüfen, ob diese in ihren Projekten zum Einsatz kommen. Entsprechende Tools und Anleitungen stehen zur Verfügung.
Diese nutzten die Gelegenheit, um 18 sehr beliebte NPM-Pakete mit Schadcode zu infizieren, darunter chalk und degub-js. Insgesamt werden diese Pakete pro Woche rund 2,6 Millionen Mal heruntergeladen. Die so verbreitete Malware sollte sogenanntes Crypto-Jacking ermöglichen. Laut einer Analyse von Security Alliance zielte der injizierte Code auf Browserumgebungen ab, indem er Ethereum- und Solana-Signaturanfragen abfing und Kryptowährungs-Wallet-Adressen durch solche ersetzte, die von den Angreifern kontrolliert wurden.
Der Angriff wurde sehr schnell innerhalb von nur zwei Stunden entdeckt und die betroffenen NPM-Pakete wurden zurückgezogen, doch auch in dieser kurzen Zeit hatten bereits rund 10 Prozent der Cloud-Umgebungen die kompromittierten Dateien heruntergeladen. Hätte es sich bei der verbreiteten Malware um Ransomware oder eine andere Art Schädling gehandelt, hätte der Angriff gigantische Schäden verursachen können – was er jedoch dank der Krypto-Jacking-Taktik der Angreifer nicht tat.
Denn trotz des riesigen Ausmaßes des Angriffs mussten sich die Angreifer mit etwas mehr als 1.000 mageren US-Dollar zufriedengeben. Dabei handelt es sich um Ethereum im Wert von fünf Cent und etwa 20 Dollar einer praktisch unbekannten Memecoin. Da der Angriff offenbar auch das Konto des DuckDB-Maintainer-Accounts beeinträchtigte und die Pakete des Projekts mit demselben Kryptowährungs-Diebstahlcode kompromittierte, kamen auf diesem Weg noch etwa 429 US-Dollar in Ethereum, 46 US-Dollar in Solana und kleine Beträge in BTC, Tron, BCH und LTC mit einem Gesamtwert von 600 US-Dollar zusammen. Ob und wie die Angreifer an dieses Geld herankommen ist fraglich, denn die entsprechenden Wallets wurden gemeldet und damit quasi unbrauchbar.
Nach etwa zwei Stunden war der Zauber bereits vorbei und die betroffenen Versionen der Pakete wurden aus dem NPM-Registry entfernt. Eine Liste der kompromittierten Pakete steht zur Verfügung und Entwickler sollten überprüfen, ob diese in ihren Projekten zum Einsatz kommen. Entsprechende Tools und Anleitungen stehen zur Verfügung.
