North Korea-Linked npm Packages Mimic Rollup Polyfills to Steal Developer Secrets
Nordkoreanische Hacker haben bösartige npm-Pakete wie "rollup-packages-polyfill-core" verbreitet, die sich als Rollup-Polyfills ausgeben. Diese Pakete ermöglichen Fernzugriff und Datendiebstahl, indem sie Entwicklergeheimnisse stehlen. Entwickler sollten umgehend ihre Abhängigkeiten überprüfen und verdächtige Pakete entfernen, um sich vor dieser Bedrohung zu schützen.
Nordkoreanische Bedrohungsakteure verbreiten bösartige npm-Pakete, die sich als Rollup-Polyfills ausgeben. Diese Pakete, darunter "rollup-packages-polyfill-core", sind darauf ausgelegt, Entwicklergeheimnisse zu stehlen. Sie ermöglichen Fernzugriff und Datenexfiltration, was eine ernsthafte Bedrohung für die Software-Lieferkette darstellt.
Entwickler und Organisationen, die npm-Pakete verwenden, insbesondere solche, die Rollup-Polyfills nutzen oder ähnliche Namen in ihren Abhängigkeiten haben.
Diese Angriffe zielen auf die Software-Lieferkette ab, indem sie vertrauenswürdige Entwicklungstools imitieren. Der Diebstahl von Entwicklergeheimnissen kann zu weitreichenden Kompromittierungen von Quellcode, Systemen und Kundendaten führen.
Kompromittierung von Entwicklerkonten und -systemen, Diebstahl von proprietärem Quellcode, Einschleusung von Backdoors in entwickelte Anwendungen und weitreichende Datenexfiltration, die zu erheblichen finanziellen und reputativen Schäden führt.
Überprüfen Sie umgehend alle npm-Abhängigkeiten auf verdächtige Pakete, insbesondere solche, die den genannten Namen ähneln. Implementieren Sie strenge Richtlinien für die Paketintegrität und nutzen Sie Tools zur Überprüfung der Authentizität von Paketen vor der Integration.
- ▸Überprüfen Sie alle `package.json`-Dateien in Ihren Projekten auf die Existenz von "rollup-packages-polyfill-core" oder "rollup-runtime-polyfill-core" oder ähnlich benannten Paketen.
- ▸Scannen Sie Ihre Entwicklungsumgebungen und CI/CD-Pipelines auf ungewöhnliche Netzwerkverbindungen oder Dateizugriffe, die von npm-Paketen ausgehen könnten.
- ▸Validieren Sie die Herkunft und Integrität aller neu hinzugefügten npm-Pakete, indem Sie Signaturen oder offizielle Quellen überprüfen, bevor Sie sie in Ihre Projekte integrieren.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1195 Supply Chain Compromise | High | Nordkoreanische Hacker haben bösartige npm-Pakete wie "rollup-packages-polyfill-core" verbreitet, die sich als Rollup-Polyfills ausgeben. |
| Credential Access | T1552 Unsecured Credentials | High | Diese Pakete ermöglichen Fernzugriff und Datendiebstahl, indem sie Entwicklergeheimnisse stehlen. |
| Exfiltration | T1041 Exfiltration Over C2 Channel | Medium | Diese Pakete [...] ermöglichen [...] Datendiebstahl [...] und exfiltrieren Daten. |
| Command and Control | T1071 Application Layer Protocol | Low | Diese Pakete ermöglichen Fernzugriff [...] |
- Es ist nicht spezifiziert, welche spezifischen Entwicklergeheimnisse gestohlen werden (z.B. API-Schlüssel, Tokens, SSH-Schlüssel).
- Der genaue Mechanismus des Fernzugriffs und der Datenexfiltration wird nicht detailliert beschrieben.
- Es wird nicht angegeben, wie viele Organisationen oder Entwickler bereits betroffen sind.
- Die spezifischen Versionen der bösartigen npm-Pakete werden nicht genannt, außer den Namen.
- Es wird nicht spezifiziert, welche spezifischen Länder betroffen sind, außer der Herkunft der Bedrohungsakteure.