Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Shai Hulud ist zurück: Wurm kompromittiert erneut Hunderte NPM-Pakete

Wer mit NPM -Paketen arbeitet, sollte dringend die Abhängigkeiten seiner Projekte überprüfen. Ein Wurm hat teils namhafte Pakete kompromittiert.
/ Marc Stöckel
Kommentare News folgen (öffnet im neuen Fenster)
In zahlreiche Javascript-Projekte wurde Schadcode eingeschleust. (Bild: pixabay.com / markusspiske)
In zahlreiche Javascript-Projekte wurde Schadcode eingeschleust. Bild: pixabay.com / markusspiske

Schon im September bedrohte ein Shai Hulud genannter Wurm das NPM-Ökosystem . Jetzt warnen Sicherheitsforscher von Socket in einem Blogbeitrag(öffnet im neuen Fenster) vor einer neuen Variante dieser Bedrohung. Mehr als 700 Versionen von über 500 verschiedenen NPM-Paketen sollen bereits kompromittiert worden sein, darunter solche namhafter Tools wie Zapier, ENS Domains, Posthog und Postman.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Java Backend Entwickler / Software Developer (m/w/d) LR Global Holding GmbH, Ahlen (öffnet im neuen Fenster)
Inhouse Software Engineer - Stibo STEP (PIM) (m/w/d) Schwarz IT, Heilbronn (öffnet im neuen Fenster)
Consultant - Cost Engineering Railway (m/w/d) quo connect management consulting GmbH'', Berlin (öffnet im neuen Fenster)
Projektleitung (m/w/d) im Projekt StartDual.international Duale Hochschule Baden-Württemberg Karlsruhe, Karlsruhe (öffnet im neuen Fenster)
Softwareentwickler (m/w/d) - Steuerungssoftware für mobile Arbeitsmaschinen Wirtgen GmbH, (öffnet im neuen Fenster)
IT Application Specialist (m/w/d) SAP ABAP Entwicklung Deutsche Bundesbank, Düsseldorf (öffnet im neuen Fenster)
Mitarbeiter:in (m/w/d) IT/Netzwerkinfrastruktur - Fernwärme Elektrizitätswerk Mittelbaden AG & Co. KG, Offenburg (öffnet im neuen Fenster)
Software Developer (m/w/d) Embedded Systems (C++, Linux) Wirtgen GmbH, (öffnet im neuen Fenster)

Betroffenen Paketen wird jeweils ein Preinstall-Skript namens setup_bun.js hinzugefügt, das auf Anwendersystemen automatisch die Javascript-Runtime Bun nachlädt (sofern nicht schon vorhanden) und darüber Schadcode ausführt.

Letzterer sammelt Systeminformationen und greift Token, Cookies und andere lokale Daten ab und leitet diese über Github aus. Um an die Anmeldeinformationen zu gelangen, bedienen sich die Shai-Hulud-Angreifer eines quelloffenen Tools namens Trufflehog(öffnet im neuen Fenster) .

Sicherheitsforscher von Wiz haben laut eigenem Blogbeitrag(öffnet im neuen Fenster) schon mehr als 25.000 Github-Repositorys identifiziert, die bei rund 350 Github-Nutzern zum Zwecke der Datenexfiltration erstellt wurden. Etwa alle 30 Minuten sollen rund 1.000 weitere Repos hinzukommen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Entwickler sollten dringend handeln

Zum Ausmaß des Angriffs schreiben die Wiz-Forscher, dass etwa 27 Prozent der von Wiz gescannten Cloud- und Code-Umgebungen mindestens eines der kompromittierten NPM-Pakete verwenden. Einige betroffene Pakete sollen allerdings schon wieder bereinigt worden sein, darunter jene von Postman und Zapier. Kompromittierte Versionen wurden überdies aus der NPM-Datenbank entfernt.

Entwickler, die mit NPM-Paketen arbeiten, sollten dringend die Abhängigkeiten ihrer Softwareprojekte überprüfen. Sind kompromittierte Pakete heruntergeladen worden, so sollten diese sofort entfernt, der node_modules-Ordner gelöscht und alle über das jeweilige System zugänglichen Anmeldeinformationen erneuert werden.

Listen bisher betroffener NPM-Pakete sind sowohl bei Wiz als auch bei Socket zu finden und werden dort laufend aktualisiert. Aber auch Sicherheitsexperten von Stepsecurity(öffnet im neuen Fenster) , Koi(öffnet im neuen Fenster) , Aikido(öffnet im neuen Fenster) und Helixguard(öffnet im neuen Fenster) haben eigene Berichte mit nützlichen Informationen zu der laufenden Shai-Hulud-Angriffswelle veröffentlicht.

Zur Startseite Kommentare

Relevante Themen

SoftwareSoftwareentwicklungSecurityCybercrimeNPMDatensicherheitVirusMalwareHacker