Ein US-Cybersicherheitsunternehmen berichtet, dass nordkoreanische Hacker<\/strong> eine der weltweit am h\u00e4ufigsten verwendeten Softwarebibliotheken in ein Verteilungssystem f\u00fcr Malware verwandelt haben. In einem Bericht der letzten Woche sagten Forscher von Socket<\/strong>, einem Unternehmen f\u00fcr Versorgungskettensicherheit, dass sie mehr als 300 b\u00f6sartige Codepakete<\/strong> im npm-Registry<\/em> gefunden haben, einem zentralen Repository, das von Millionen von Entwicklern genutzt wird, um JavaScript-Software zu teilen und zu installieren.<\/p>\n Diese Pakete \u2013 kleine wiederverwendbare Codefragmente, die in Anwendungen von Websites bis hin zu Krypto-Anwendungen verwendet werden \u2013 wurden so gestaltet, dass sie harmlos erscheinen. Doch einmal heruntergeladen, installierten sie Malware<\/strong>, die in der Lage war, Passw\u00f6rter, Browserdaten und Schl\u00fcssel von Kryptow\u00e4hrungs-Wallets zu stehlen. Socket erkl\u00e4rte, dass die Kampagne, die sie „Contagious Interview<\/strong>“ nennen, Teil einer ausgekl\u00fcgelten Operation ist, die von nordkoreanischen staatlich gef\u00f6rderten Hackern durchgef\u00fchrt wird, die sich als Tech-Rekruter ausgeben, um Entwickler in den Bereichen Blockchain, Web3 und verwandten Industrien ins Visier zu nehmen.<\/p>\n Warum es wichtig ist:<\/strong> npm ist im Wesentlichen das R\u00fcckgrat des modernen Webs. Eine Kompromittierung erm\u00f6glicht es Angreifern, b\u00f6sartigen Code in unz\u00e4hlige nachgelagerte Apps einzuschleusen. Sicherheitsexperten warnen seit Jahren, dass solche „Software-Versorgungsketten<\/strong>„-Angriffe zu den gef\u00e4hrlichsten im Cyberspace geh\u00f6ren, da sie unsichtbar durch legitime Updates und Abh\u00e4ngigkeiten verbreitet werden.<\/p>\n Die Forscher von Socket verfolgten die Kampagne durch eine Gruppe \u00e4hnlicher Paketnamen \u2013 falsch geschriebene Versionen beliebter Bibliotheken wie express<\/em>, dotenv<\/em> und hardhat<\/em> \u2013 sowie durch Code-Muster, die mit zuvor identifizierten nordkoreanischen Malware-Familien wie BeaverTail<\/em> und InvisibleFerret<\/em> verbunden sind.<\/p>\n Die Angreifer verwendeten verschl\u00fcsselte „Loader<\/strong>„-Skripte, die versteckte Payloads direkt im Speicher entschl\u00fcsselten und ausf\u00fchrten, wodurch nur wenige Spuren auf der Festplatte hinterlassen wurden. Das Unternehmen gab an, dass etwa 50.000 Downloads<\/strong> der b\u00f6sartigen Pakete stattfanden, bevor viele entfernt wurden, obwohl einige weiterhin online sind.<\/p>\n Die Hacker verwendeten auch gef\u00e4lschte LinkedIn-Rekruter-Konten, eine Taktik, die mit fr\u00fcheren Cyber-Spionagekampagnen der DVRK \u00fcbereinstimmt, die von der US-Cybersicherheits- und Infrastruktur-Sicherheitsbeh\u00f6rde (CISA) dokumentiert und zuvor in Decrypt berichtet wurden. Die endg\u00fcltigen Ziele, glauben die Ermittler, waren Maschinen, die Zugangsdaten und digitale Wallets hielten.<\/p>\n W\u00e4hrend die Erkenntnisse von Socket mit Berichten anderer Sicherheitsgruppen und Regierungsbeh\u00f6rden \u00fcbereinstimmen, die Nordkorea mit Kryptow\u00e4hrungsdiebst\u00e4hlen in Milliardenh\u00f6he in Verbindung bringen, bleibt die unabh\u00e4ngige \u00dcberpr\u00fcfung jedes Details \u2013 wie die genaue Anzahl der kompromittierten Pakete \u2013 ausstehend. Dennoch sind die technischen Beweise und beschriebenen Muster konsistent mit fr\u00fcheren Vorf\u00e4llen, die Pyongyang zugeschrieben werden.<\/p>\n Der Eigent\u00fcmer von npm, GitHub<\/strong>, hat erkl\u00e4rt, dass er b\u00f6sartige Pakete entfernt, sobald sie entdeckt werden, und die Anforderungen an die Kontoverifizierung verbessert hat. Doch das Muster, sagen die Forscher, ist wie ein „Whack-a-Mole<\/strong>„: Man entfernt ein Set b\u00f6sartiger Pakete, und Hunderte weitere nehmen bald ihren Platz ein.<\/p>\n F\u00fcr Entwickler und Krypto-Startups unterstreicht dieser Vorfall, wie anf\u00e4llig die Software-Versorgungskette geworden ist. Sicherheitsexperten fordern Teams auf, jeden „npm install<\/em>„-Befehl als potenzielle Codeausf\u00fchrung zu behandeln, Abh\u00e4ngigkeiten vor der Integration in Projekte zu scannen und automatisierte Pr\u00fcfwerkzeuge zu verwenden, um manipulierte Pakete zu erkennen. Die St\u00e4rke des Open-Source-\u00d6kosystems \u2013 seine Offenheit \u2013 bleibt zugleich seine gr\u00f6\u00dfte Schw\u00e4che, wenn Gegner sich entscheiden, es zu missbrauchen.<\/p>\n","protected":false},"excerpt":{"rendered":" Nordkoreanische Hacker verwandeln Softwarebibliotheken in Malware Ein US-Cybersicherheitsunternehmen berichtet, dass nordkoreanische Hacker eine der weltweit am h\u00e4ufigsten verwendeten Softwarebibliotheken in ein Verteilungssystem f\u00fcr Malware verwandelt haben. In einem Bericht der letzten Woche sagten Forscher von Socket, einem Unternehmen f\u00fcr Versorgungskettensicherheit, dass sie mehr als 300 b\u00f6sartige Codepakete im npm-Registry gefunden haben, einem zentralen Repository, das von Millionen von Entwicklern genutzt wird, um JavaScript-Software zu teilen und zu installieren. Diese Pakete \u2013 kleine wiederverwendbare Codefragmente, die in Anwendungen von Websites bis hin zu Krypto-Anwendungen verwendet werden \u2013 wurden so gestaltet, dass sie harmlos erscheinen. Doch einmal heruntergeladen, installierten sie Malware, die<\/p>\n","protected":false},"author":3,"featured_media":10194,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[15,64],"tags":[11,75,1338,65,7969,72,221],"class_list":["post-10195","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bitcoin","category-hack","tag-bitcoin","tag-dprk","tag-github","tag-hack","tag-javascript","tag-north-korea","tag-web3"],"yoast_description":"Nordkoreanische Hacker zielen auf Krypto-Entwickler ab, indem sie b\u00f6sartige npm-Pakete verbreiten, die Software-Versorgungsketten kompromittieren und sensible Daten stehlen.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/10195","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/comments?post=10195"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/posts\/10195\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media\/10194"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/media?parent=10195"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/categories?post=10195"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/de\/wp-json\/wp\/v2\/tags?post=10195"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Die Bedeutung der Kompromittierung<\/h2>\n
Techniken der Angreifer<\/h2>\n
Reaktionen und Empfehlungen<\/h2>\n