SecBoard
Zurück zur Übersicht

North Korea-Linked npm Packages Mimic Rollup Polyfills to Steal Developer Secrets

The Hacker News·
Originalartikel lesen bei The Hacker News

Nordkoreanische Hacker haben bösartige npm-Pakete wie "rollup-packages-polyfill-core" verbreitet, die sich als Rollup-Polyfills ausgeben. Diese Pakete ermöglichen Fernzugriff und Datendiebstahl, indem sie Entwicklergeheimnisse stehlen. Entwickler sollten umgehend ihre Abhängigkeiten überprüfen und verdächtige Pakete entfernen, um sich vor dieser Bedrohung zu schützen.

Kurzfassung

Nordkoreanische Bedrohungsakteure verbreiten bösartige npm-Pakete, die sich als Rollup-Polyfills ausgeben. Diese Pakete, darunter "rollup-packages-polyfill-core", sind darauf ausgelegt, Entwicklergeheimnisse zu stehlen. Sie ermöglichen Fernzugriff und Datenexfiltration, was eine ernsthafte Bedrohung für die Software-Lieferkette darstellt.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Entwickler und Organisationen, die npm-Pakete verwenden, insbesondere solche, die Rollup-Polyfills nutzen oder ähnliche Namen in ihren Abhängigkeiten haben.

Warum relevant

Diese Angriffe zielen auf die Software-Lieferkette ab, indem sie vertrauenswürdige Entwicklungstools imitieren. Der Diebstahl von Entwicklergeheimnissen kann zu weitreichenden Kompromittierungen von Quellcode, Systemen und Kundendaten führen.

Realistisches Worst Case

Kompromittierung von Entwicklerkonten und -systemen, Diebstahl von proprietärem Quellcode, Einschleusung von Backdoors in entwickelte Anwendungen und weitreichende Datenexfiltration, die zu erheblichen finanziellen und reputativen Schäden führt.

Handlungsempfehlung

Überprüfen Sie umgehend alle npm-Abhängigkeiten auf verdächtige Pakete, insbesondere solche, die den genannten Namen ähneln. Implementieren Sie strenge Richtlinien für die Paketintegrität und nutzen Sie Tools zur Überprüfung der Authentizität von Paketen vor der Integration.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie alle `package.json`-Dateien in Ihren Projekten auf die Existenz von "rollup-packages-polyfill-core" oder "rollup-runtime-polyfill-core" oder ähnlich benannten Paketen.
  • Scannen Sie Ihre Entwicklungsumgebungen und CI/CD-Pipelines auf ungewöhnliche Netzwerkverbindungen oder Dateizugriffe, die von npm-Paketen ausgehen könnten.
  • Validieren Sie die Herkunft und Integrität aller neu hinzugefügten npm-Pakete, indem Sie Signaturen oder offizielle Quellen überprüfen, bevor Sie sie in Ihre Projekte integrieren.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1195 Supply Chain CompromiseHighNordkoreanische Hacker haben bösartige npm-Pakete wie "rollup-packages-polyfill-core" verbreitet, die sich als Rollup-Polyfills ausgeben.
Credential AccessT1552 Unsecured CredentialsHighDiese Pakete ermöglichen Fernzugriff und Datendiebstahl, indem sie Entwicklergeheimnisse stehlen.
ExfiltrationT1041 Exfiltration Over C2 ChannelMediumDiese Pakete [...] ermöglichen [...] Datendiebstahl [...] und exfiltrieren Daten.
Command and ControlT1071 Application Layer ProtocolLowDiese Pakete ermöglichen Fernzugriff [...]
Offene Punkte
  • Es ist nicht spezifiziert, welche spezifischen Entwicklergeheimnisse gestohlen werden (z.B. API-Schlüssel, Tokens, SSH-Schlüssel).
  • Der genaue Mechanismus des Fernzugriffs und der Datenexfiltration wird nicht detailliert beschrieben.
  • Es wird nicht angegeben, wie viele Organisationen oder Entwickler bereits betroffen sind.
  • Die spezifischen Versionen der bösartigen npm-Pakete werden nicht genannt, außer den Namen.
  • Es wird nicht spezifiziert, welche spezifischen Länder betroffen sind, außer der Herkunft der Bedrohungsakteure.