SecBoard
Zurück zur Übersicht

Compromised jscrambler 8.14.0 npm Release Drops Rust Infostealer During Install

The Hacker News·
Originalartikel lesen bei The Hacker News

Die npm-Version 8.14.0 des jscrambler-Pakets enthielt einen bösartigen Preinstall-Hook, der während der Installation heimlich einen Rust-Infostealer auf Windows-, macOS- und Linux-Systemen installierte und ausführte. Betroffen sind alle Nutzer, die diese spezifische Version installiert haben. Es wird dringend empfohlen, die Version 8.14.0 zu deinstallieren und auf eine sichere Version zu aktualisieren.

Kurzfassung

Die npm-Version 8.14.0 des jscrambler-Pakets enthielt einen bösartigen Preinstall-Hook, der während der Installation einen Rust-Infostealer auf Windows-, macOS- und Linux-Systemen installierte und ausführte. Alle Nutzer, die diese spezifische Version installiert haben, sind betroffen. Es wird dringend empfohlen, die kompromittierte Version zu deinstallieren und auf eine sichere Version zu aktualisieren.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Alle Nutzer, die die npm-Version 8.14.0 des jscrambler-Pakets installiert haben, sind betroffen.

Warum relevant

Die Kompromittierung eines weit verbreiteten npm-Pakets kann zur unbemerkten Installation von Infostealern auf Entwickler- und Produktionssystemen führen. Dies birgt das Risiko des Diebstahls sensibler Daten wie Anmeldeinformationen, API-Schlüssel oder Quellcode.

Realistisches Worst Case

Der Infostealer könnte sensible Daten von den betroffenen Systemen exfiltriert haben, was zu Datenlecks, unautorisiertem Zugriff auf interne Systeme oder der Kompromittierung von Entwicklungsumgebungen führen könnte.

Handlungsempfehlung

Deinstallieren Sie umgehend die jscrambler npm-Version 8.14.0, überprüfen Sie alle betroffenen Systeme auf Anzeichen des Infostealers und aktualisieren Sie auf eine sichere Version des Pakets. Führen Sie eine Überprüfung auf Datenexfiltration durch.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie Ihre npm-Abhängigkeiten auf die Verwendung der jscrambler-Version 8.14.0 in Ihren Projekten.
  • Suchen Sie auf Windows-, macOS- und Linux-Systemen, auf denen jscrambler 8.14.0 installiert wurde, nach unbekannten Rust-Binärdateien oder verdächtigen Prozessen.
  • Überprüfen Sie Netzwerkprotokolle auf ungewöhnliche ausgehende Verbindungen von Systemen, die jscrambler 8.14.0 installiert hatten, die auf Datenexfiltration hindeuten könnten.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
ExecutionT1202 Indirect Command ExecutionHighenthielt einen bösartigen Preinstall-Hook, der während der Installation heimlich einen Rust-Infostealer ... installierte und ausführte.
Defense EvasionT1564.001 Hide Artifacts: Hidden Files and DirectoriesLowheimlich einen Rust-Infostealer ... installierte
CollectionT1005 Data from Local SystemHighinstallierte ... einen Rust-Infostealer
Offene Punkte
  • Der genaue Typ der vom Infostealer gesammelten Daten ist im Artikel nicht spezifiziert.
  • Die spezifischen Indikatoren für Kompromittierung (IOCs) des Rust-Infostealers sind im Artikel nicht spezifiziert.
  • Die Methode der ursprünglichen Kompromittierung des jscrambler npm-Pakets ist im Artikel nicht spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Unklar
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir Windows extern erreichbar?