SecBoard
Zurück zur Übersicht

Fake Paysafe, Skrill SDKs on NPM and PyPi steal credentials

BleepingComputer·
Originalartikel lesen bei BleepingComputer

Auf NPM und PyPI wurden bösartige Pakete entdeckt, die sich als offizielle SDKs von Paysafe, Skrill und Neteller ausgaben. Diese infizierten Entwickler und Nutzer mit Credential-Stealer-Malware. Betroffene sollten umgehend ihre Zugangsdaten ändern und die kompromittierten Pakete entfernen.

Kurzfassung

Bösartige Pakete, die sich als offizielle SDKs von Paysafe, Skrill und Neteller ausgeben, wurden auf NPM und PyPI entdeckt. Diese Pakete infizierten Entwickler und Nutzer mit Credential-Stealer-Malware. Betroffene sollten umgehend ihre Zugangsdaten ändern und die kompromittierten Pakete entfernen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Entwickler und Nutzer von Paysafe, Skrill und Neteller, die die gefälschten SDKs über NPM oder PyPI heruntergeladen haben.

Warum relevant

Organisationen, die diese Zahlungsdienstleister nutzen und deren Entwickler die betroffenen SDKs in ihre Projekte integriert haben könnten, sind einem direkten Risiko des Diebstahls von Zugangsdaten ausgesetzt. Dies kann zu unautorisierten Transaktionen und finanziellen Verlusten führen.

Realistisches Worst Case

Der Diebstahl von Zugangsdaten für Zahlungsdienstleister, was zu unautorisierten Transaktionen, finanziellen Verlusten und potenziell weiteren Kompromittierungen von Systemen führen kann, in denen diese Zugangsdaten verwendet wurden.

Handlungsempfehlung

Überprüfung aller Projekte auf die Verwendung der genannten SDKs von Paysafe, Skrill und Neteller. Falls die Pakete über NPM oder PyPI bezogen wurden, sind diese umgehend zu entfernen und alle damit verbundenen Zugangsdaten zu ändern. Eine Überprüfung der Entwicklungsumgebungen auf weitere Kompromittierungen ist ebenfalls ratsam.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie alle Abhängigkeitslisten (package.json, requirements.txt) in Ihren Projekten auf die Pakete 'paysafe', 'skrill' und 'neteller', die von NPM oder PyPI stammen könnten.
  • Scannen Sie Entwicklungsumgebungen und Build-Server auf bekannte Indikatoren für Credential-Stealer-Malware, insbesondere nach der Installation der genannten Pakete.
  • Implementieren Sie eine Richtlinie zur Überprüfung der Herkunft von Drittanbieter-Bibliotheken und zur Nutzung von privaten Paket-Repositories, um die Integrität von Abhängigkeiten sicherzustellen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1195 Supply Chain CompromiseHighAuf NPM und PyPI wurden bösartige Pakete entdeckt, die sich als offizielle SDKs von Paysafe, Skrill und Neteller ausgaben.
Credential AccessT1552 Unsecured CredentialsHighDiese infizierten Entwickler und Nutzer mit Credential-Stealer-Malware.
Offene Punkte
  • Die genauen Namen der bösartigen Pakete sind nicht spezifiziert.
  • Die spezifischen Techniken der Credential-Stealer-Malware sind nicht spezifiziert.
  • Der Umfang der Kompromittierung (Anzahl der Downloads, betroffene Organisationen) ist nicht spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Reconnaissance detektieren?
  • Können wir Resource Development detektieren?

MITRE ATT&CK Kill Chain (4 Techniken)

Themen
Security