Vibe-Coding-Verdacht: Datenpanne in NPM-Paket legt Malware-Operation offen
Sicherheitsforscher von OX Security haben einen Malware-Angriff beobachtet, bei dem der Angreifer offenbar wenig Gespür für seine eigene operative Sicherheit hatte. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) versuchte der Angreifer, durch ein NPM-Paket einen Infostealer zu verbreiten. Das Paket enthielt jedoch sein Github-Token, so dass die Forscher die Malware-Aktivitäten ziemlich genau nachverfolgen konnten.
Das besagte Paket trug den Namen mouse5212-super-formatter und soll am 27. Mai noch in der NPM-Datenbank verfügbar gewesen sein. Inzwischen ist das jedoch nicht mehr der Fall. Wer den Link zum Paket(öffnet im neuen Fenster) auf npmjs.com aufruft, wird lediglich mit einer 404-Fehlerseite abgespeist.
Einige Nutzer scheinen die Malware bis dahin aber heruntergeladen zu haben. Laut OX Security hatte das Paket zuletzt 676 Downloads. Zudem soll es über das Github-Repository des Angreifers sieben Datenexfiltrationsversuche gegeben haben. Die Forscher gehen aber davon aus, dass ein Großteil davon nur Tests waren, die der Angreifer selbst durchgeführt hat.
Lokale Daten über Github ausgeleitet
Den Angaben zufolge authentifizierte sich die Malware unmittelbar nach der Installation bei Github und lud Daten aus dem lokalen Verzeichnis /mnt/user-data in ein Repository des Angreifers. Wie The Register berichtet(öffnet im neuen Fenster), operiert Anthropics KI-Coding-Tool Claude regulär in dem besagten Verzeichnis. Der Angreifer hatte es also offenbar auf Daten von Claude-Nutzern abgesehen.
Laut OX Security war die Malware als eine Art Archiv-Synchronisationstool getarnt, welches einen Snapshot erstellt und Daten aus dem lokalen Workspace auf einem externen System sichert. Auf infizierten Systemen sei sogar ein gefälschtes Netzwerkverbindungsprotokoll erstellt worden, "um die Ausführung eher wie eine Diagnose als wie einen Diebstahl aussehen zu lassen", heißt es.
Das Github-Konto des Angreifers wurde den Angaben zufolge nur wenige Stunden vor Bereitstellung des Malware-Paketes erstellt und nach dem Angriff auch wieder gelöscht.
KI-generierte Low-Quality-Malware
Die Sicherheitsforscher gehen davon aus, dass der Angreifer seine Malware durch Vibe Coding, also mithilfe einer KI, entwickelt hat. "Dies ist ein gutes Beispiel dafür, wie manche Angreifer KI einsetzen, um Malware zu generieren, ohne grundlegende Opsec-Konzepte und Best Practices zu verstehen", heißt es im Bericht.
Durch KI sei die Hürde für solche Angriffe inzwischen deutlich gesunken. "Wir werden erleben, dass immer mehr Angreifer dieses Spielfeld betreten – und schlampigere Malware hochladen, meist in Anlehnung an APT-Gruppen, um ein Stück vom Kuchen abzubekommen, bis NPM beginnt, Malware automatisch vollständig zu blockieren", so die Forscher.
- Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.