Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Schadcode eingeschleust: Große NPM-Attacke betrifft jede zehnte Cloud-Umgebung

Eine einfache Phishing -Mail hat unzählige Malware -Infektionen zur Folge. Auch Cloud -Systeme sind betroffen. Dennoch geht der Angreifer fast leer aus.
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
In zahlreiche Cloudsysteme wurde Schadcode eingeschleust. (Bild: pixabay.com / Hunt_on_Photos_Studio)
In zahlreiche Cloudsysteme wurde Schadcode eingeschleust. Bild: pixabay.com / Hunt_on_Photos_Studio

Bei dem am Montag erfolgten Supply-Chain-Angriff auf das Javascript-Ökosystem soll der damit verbreitete Schadcode auf unzählige Cloudsysteme gelangt sein. Das geht aus einer Analyse hervor, die auf Daten der Cloud-Security-Spezialisten von Wiz basiert. Laut Blogbeitrag der Wiz-Forscher(öffnet im neuen Fenster) hat die Malware ihren Weg in "mindestens 10 Prozent" aller Cloudumgebungen gefunden.

Ursprung der Attacke war ein erfolgreicher Phishing-Angriff auf einen Maintainer, der unter dem Namen Qix bekannt ist. Der Angreifer verseuchte daraufhin zahlreiche weitverbreitete NPM-Pakete mit zusammen mehr als 2,6 Milliarden wöchentlichen Downloads mit Schadcode. Später stellte sich heraus, dass auch noch Pakete anderer Entwickler betroffen(öffnet im neuen Fenster) waren.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Zwar wurden die kompromittierten Versionen jeweils innerhalb weniger Stunden wieder vom Netz genommen, dennoch dürften in dieser kurzen Zeit schon Millionen von Downloads erfolgt sein. Laut Wiz verwenden 99 Prozent aller Cloudumgebungen mindestens eines der kompromittierten Pakete. Besonders verbreitet ist in diesem Segment wohl das NPM-Paket des Debugging-Tools debug(öffnet im neuen Fenster) .

Bisher nur wenig Geld geflossen

Der Schadcode soll nach Angaben der Forscher nicht nur durch Build-Prozesse und Development-Pipelines auf Entwicklersysteme gelangt sein, sondern über neue Frontend-Builds auch in die Browser der Nutzer zahlreicher Webportale. Dass der Code etwa jede zehnte Cloudumgebung erreicht habe, zeige eindrucksvoll, "wie schnell sich bösartiger Code bei Supply-Chain-Angriffen wie diesem verbreiten kann" , heißt es bei Wiz.

Ziel der eingeschleusten Malware ist es, Krypto-Transaktionen betroffener Nutzer auf vom Angreifer kontrollierte Wallets umzuleiten. Der tatsächlich entstandene Schaden ist trotz der extremen Verbreitung des Schadcodes aber bisher überschaubar. Den Daten von Arkham Intelligence(öffnet im neuen Fenster) zufolge wurden bisher lediglich Kryptowährungen im Wert von knapp über 1.000 US-Dollar auf die Wallets des Angreifers transferiert.

Dennoch sollte das Risiko nicht unterschätzt werden. Der Angreifer hätte auf gleichem Wege ebenso eine Backdoor oder Ransomware verbreiten können, um Folgeangriffe auszuführen, Daten abzugreifen oder zu verschlüsseln und anschließend Millionen betroffener Nutzer und Organisationen zu erpressen.

Endbenutzer können in der Regel wenig tun, um sich vor solchen Angriffen zu schützen, und sind auf Sicherheitsvorkehrungen der jeweiligen Webentwickler angewiesen. Letztere finden im Bericht der Wiz-Forscher(öffnet im neuen Fenster) ein paar Handlungsempfehlungen.

Zur Startseite Kommentare

Relevante Themen

WebseitenSoftwareCloudSoftwareentwicklungSecurityCybercrimeNPMDatensicherheitMalware