Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Vertrauliche Daten im Visier

Wie Sicherheitsforscher von Socket in einem anderen Blogbeitrag(öffnet im neuen Fenster) schildern, sammelt der in Trivy eingeschleuste Infostealer unter anderem Anmeldeinformationen für lokale Nutzerkonten, SSH-Verbindungen, Git, AWS, die Google Cloud, Azure, Kubernetes, Docker, VPNs und Kryptowallets sowie Shell-Eingabeverläufe, private Schlüssel und viele andere vertrauliche Daten ein.

Anschließend werden diese Daten verschlüsselt und an ein vom Angreifer kontrolliertes System übertragen. Weitere technische Details zu der Angriffskampagne sowie Handlungsempfehlungen für Betroffene sind neben den bereits genannten Blogbeiträgen von Wiz, Socket und Aqua Security unter anderem auch bei Stepsecurity(öffnet im neuen Fenster) , Crowdstrike(öffnet im neuen Fenster) und Aikido(öffnet im neuen Fenster) zu finden.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Teamleitung Communication Standard Services – CSS (m/w/d) Helmholtz-Zentrum für Umweltforschung GmbH – UFZ, Leipzig (öffnet im neuen Fenster)
Software Architekt C#/.NET (m/w/d) PHARMATECHNIK GmbH & Co. KG, Starnberg (öffnet im neuen Fenster)
Teamleitung Informationssicherheit (m/w/d) Behörde für Finanzen und Bezirke, Hamburg (öffnet im neuen Fenster)
DevOps / Platform Engineer (w/m/d) energy & meteo systems GmbH, Oldenburg (öffnet im neuen Fenster)
Projekt Koordinator / Koordinatorin EU-Projekt (m/w/d) Teilzeit Deutsche Gesetzliche Unfallversicherung e.V. (DGUV), Berlin (öffnet im neuen Fenster)
Assistenz Young Researchers Relations (m/w/d) Heidelberg Laureate Forum Foundation, Heidelberg (öffnet im neuen Fenster)
Praxisorientierte Weiterbildung GIS- und Geodatenexperte (m/w/d) GIS-Akademie GmbH, Dortmund (öffnet im neuen Fenster)
IT-Administrator (m/w/d) - Netzwerk & Security Abrechnungszentrum Emmendingen, Emmendingen (öffnet im neuen Fenster)

Über 100 NPM-Pakete kompromittiert

Am 21. März veröffentlichten die Socket-Forscher überdies noch einen weiteren Blogbeitrag(öffnet im neuen Fenster) , in dem sie vor von TeamPCP kompromittierten NPM-Paketen warnen. Dabei werden eingesammelte Zugangsdaten offenbar missbraucht, um mit einer Malware namens Canisterworm weitere Softwareprojekte zu kapern und eine Backdoor auf Nutzersysteme zu schleusen.

Eine durchsuchbare Liste aller NPM-Pakete, die nach aktuellem Kenntnisstand von der Canisterworm-Attacke betroffen sind, haben die Socket-Forscher auf einer separaten Informationsseite(öffnet im neuen Fenster) bereitgestellt. Dort werden mittlerweile 141 Pakete aufgelistet. Das letzte davon wurde erst in der Nacht auf Montag eingetragen.

Es ist anzunehmen, dass in den kommenden Tagen noch weitere NPM-Pakete hinzukommen, wenngleich die Ausbreitungsgeschwindigkeit laut Socket bereits nachgelassen hat – vermutlich aufgrund von Interventionen der Betreiber der NPM-Datenbank. Entwickler sollten dringend prüfen, ob sie eines der betroffenen Pakete im Einsatz haben. Falls dem so ist, sind die jeweiligen Systeme als kompromittiert zu betrachten und angemessene Aufräumarbeiten einzuleiten.

  1. Supply-Chain-Attacke: Trivy-Scanner und 140 NPM-Pakete kompromittiert
  2. Vertrauliche Daten im Visier
Zur Startseite Kommentare

Relevante Themen

SoftwareSoftwareentwicklungSecurityCybercrimeNPMDatensicherheitGit