Die Entwicklergemeinschaft steht vor einer neuen Bedrohung im npm-Ökosystem. Vier bösartige Pakete wurden entdeckt, die zusammen mit dem DDoS-Bot Phantom Bot Malware zum Diebstahl von Informationen verbreiten. Einmal installiert, gefährden diese Komponenten die Systemsicherheit, indem sie Anmeldedaten, Schlüssel und sensible Daten extrahieren und das Gerät für verteilte Denial-of-Service-Angriffe rekrutieren. Die Raffinesse dieser Angriffe unterstreicht die Notwendigkeit, jede Abhängigkeit vor der Integration in Softwareprojekte zu überprüfen.
Technische Analyse der Phantom Bot-Malware in npm 🛡️
Die infizierten Pakete verwenden Verschleierungstechniken, um der anfänglichen Erkennung zu entgehen. Bei der Ausführung setzen sie einen Lader ein, der Phantom Bot herunterlädt und installiert – eine modulare Malware, die in der Lage ist, Cookies, in Browsern gespeicherte Passwörter und Dateien von Kryptowährungs-Wallets zu stehlen. Gleichzeitig verbindet sich der Bot mit einem Command-and-Control-Server, um Anweisungen zu empfangen und an DDoS-Angriffen teilzunehmen. Die Persistenz wird durch Änderungen an der Windows-Registrierung oder Startskripten auf Unix-Systemen erreicht. Forscher empfehlen, die Datei package-lock.json zu prüfen und Tools wie npm audit zu verwenden, um verdächtige Abhängigkeiten zu identifizieren.
Das neue Hobby von npm: DDoS-Bots bei jeder Installation verschenken 🤖
Denn klar, das Installieren einer Bibliothek zum Formatieren von Daten ist nicht mehr genug: Jetzt kannst du deinen PC auch noch ohne dein Wissen in einen Soldaten einer DDoS-Armee verwandeln. Diese bösartigen Pakete sind das digitale Äquivalent zu diesem Freund, der dich zum Abendessen einlädt und dich dann bittet, beim Umzug zu helfen. Die stets vertrauensvolle Entwicklergemeinschaft muss nun jedes Paket überprüfen, als wäre es ein Telefonvertrag. Allerdings: Wenn dein Projekt anfängt, langsamer zu werden, und dein Lüfter wie ein Wecker klingt, ist es vielleicht nicht die Sommerhitze – du hast einen unerwünschten neuen Untermieter.