Fake Paysafe, Skrill SDKs on NPM and PyPi steal credentials
Auf NPM und PyPI wurden bösartige Pakete entdeckt, die sich als offizielle SDKs von Paysafe, Skrill und Neteller ausgaben. Diese infizierten Entwickler und Nutzer mit Credential-Stealer-Malware. Betroffene sollten umgehend ihre Zugangsdaten ändern und die kompromittierten Pakete entfernen.
Bösartige Pakete, die sich als offizielle SDKs von Paysafe, Skrill und Neteller ausgeben, wurden auf NPM und PyPI entdeckt. Diese Pakete infizierten Entwickler und Nutzer mit Credential-Stealer-Malware. Betroffene sollten umgehend ihre Zugangsdaten ändern und die kompromittierten Pakete entfernen.
Entwickler und Nutzer von Paysafe, Skrill und Neteller, die die gefälschten SDKs über NPM oder PyPI heruntergeladen haben.
Organisationen, die diese Zahlungsdienstleister nutzen und deren Entwickler die betroffenen SDKs in ihre Projekte integriert haben könnten, sind einem direkten Risiko des Diebstahls von Zugangsdaten ausgesetzt. Dies kann zu unautorisierten Transaktionen und finanziellen Verlusten führen.
Der Diebstahl von Zugangsdaten für Zahlungsdienstleister, was zu unautorisierten Transaktionen, finanziellen Verlusten und potenziell weiteren Kompromittierungen von Systemen führen kann, in denen diese Zugangsdaten verwendet wurden.
Überprüfung aller Projekte auf die Verwendung der genannten SDKs von Paysafe, Skrill und Neteller. Falls die Pakete über NPM oder PyPI bezogen wurden, sind diese umgehend zu entfernen und alle damit verbundenen Zugangsdaten zu ändern. Eine Überprüfung der Entwicklungsumgebungen auf weitere Kompromittierungen ist ebenfalls ratsam.
- ▸Überprüfen Sie alle Abhängigkeitslisten (package.json, requirements.txt) in Ihren Projekten auf die Pakete 'paysafe', 'skrill' und 'neteller', die von NPM oder PyPI stammen könnten.
- ▸Scannen Sie Entwicklungsumgebungen und Build-Server auf bekannte Indikatoren für Credential-Stealer-Malware, insbesondere nach der Installation der genannten Pakete.
- ▸Implementieren Sie eine Richtlinie zur Überprüfung der Herkunft von Drittanbieter-Bibliotheken und zur Nutzung von privaten Paket-Repositories, um die Integrität von Abhängigkeiten sicherzustellen.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1195 Supply Chain Compromise | High | Auf NPM und PyPI wurden bösartige Pakete entdeckt, die sich als offizielle SDKs von Paysafe, Skrill und Neteller ausgaben. |
| Credential Access | T1552 Unsecured Credentials | High | Diese infizierten Entwickler und Nutzer mit Credential-Stealer-Malware. |
- Die genauen Namen der bösartigen Pakete sind nicht spezifiziert.
- Die spezifischen Techniken der Credential-Stealer-Malware sind nicht spezifiziert.
- Der Umfang der Kompromittierung (Anzahl der Downloads, betroffene Organisationen) ist nicht spezifiziert.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Können wir Reconnaissance detektieren?
- Können wir Resource Development detektieren?