Social Engineering: Hacker nehmen Open-Source-Maintainer ins Visier
Wochenlange Vertrauensarbeit von Hackern, ein gefälschter Podcast-Termin und ein manipulierter Videocall sind dem Axios-Maintainer zum Verhängnis geworden(öffnet im neuen Fenster) , wie er selbst zugibt(öffnet im neuen Fenster) .
Als bekannt wurde, dass das Paket kompromittiert worden war und der Maintainer bestätigte, Opfer von Social Engineering geworden zu sein, meldeten sich Entwickler aus dem gesamten Node.js-Ökosystem: Sie alle waren Ziel von Hackern.
Die Angreifer gehen nicht wahllos vor. Im Fokus stehen Maintainer von Paketen wie Lodash, Fastify, Dotenv und Webtorrent: Tools, die kollektiv für Milliarden monatlicher Downloads stehen.
Security-Forscher ordnen die Aktivitäten der nordkoreanischen Gruppe UNC1069 zu. Betroffen waren unter anderem Socket-CEO Feross Aboukhadijeh und der Node.js-Steering-Committee-Vorsitzende Matteo Collina, der berichtete(öffnet im neuen Fenster) , die Kontaktperson habe sich als Vertreter eines legitimen Unternehmens ausgegeben.
Vertrauen über Wochen aufgebaut
Die Angreifer nahmen sich viel Zeit. Die Betroffenen berichteten, die Hacker hätten sie über Linkedin oder Slack kontaktiert, mit gefälschten Profilen und vorgetäuschten Unternehmensidentitäten, darunter eine Firma namens Openfort.
Die Entwickler erhielten Einladungen zu privaten Slack-Channels, danach folgten Anfragen für Podcast-Auftritte oder Interviews. Termine wurden vereinbart, verschoben und erneut bestätigt, um Seriosität vorzutäuschen.
Der eigentliche Angriff findet im Videocall statt: Die Seite meldet ein Audioproblem und fordert die Zielperson auf, eine Anwendung herunterzuladen oder einen Befehl im Terminal auszuführen. Wer das tut, installiert einen Remote-Access-Trojaner, der Browser-Cookies, Cloudzugangsdaten und aktive Session-Tokens im Sekundentakt abgreift.
Zwei-Faktor-Schutz versagt
Weil die Malware aktive Session-Tokens statt Passwörter stiehlt, schützt Zwei-Faktor-Authentifizierung hier nicht. Mit den gestohlenen Tokens ließen sich im Fall von Axios Pakete direkt im npm-Registry veröffentlichen, ohne dass Standard-Loginprüfungen griffen. Ein einziges kompromittiertes Paket kann so über automatische Dependency-Updates Millionen Nutzer treffen.
Das eigentliche Strukturproblem: Die Sicherheit kritischer Software-Infrastruktur hängt zu einem erheblichen Teil von den persönlichen Sicherheitsgewohnheiten einzelner, oft ehrenamtlicher Maintainer ab – ein systemisches Risiko, das kein technischer Fix allein lösen wird.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.