SecBoard
Zurück zur Übersicht

148 npm Packages Disguised as Student Proxies Turned Browsers Into a DDoS Botnet

The Hacker News·
Originalartikel lesen bei The Hacker News

Eine Kampagne von 148 npm-Paketen, getarnt als Studenten-Web-Proxies, verwandelte Browser von Besuchern in ein DDoS-Botnetz. Betroffen waren Studierende, die diese Proxies nutzten, um Zensur zu umgehen. Nutzern wird geraten, Vorsicht bei der Installation unbekannter Pakete walten zu lassen und deren Herkunft genau zu prüfen.

Kurzfassung

Eine Kampagne von 148 bösartigen npm-Paketen, die als Studenten-Web-Proxies getarnt waren, verwandelte die Browser von Besuchern in ein DDoS-Botnetz. Diese Pakete wurden von Studierenden genutzt, um Internetbeschränkungen zu umgehen. Nutzern wird geraten, Vorsicht bei der Installation unbekannter Pakete walten zu lassen und deren Herkunft genau zu prüfen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Studierende, die diese bösartigen npm-Pakete zur Umgehung von Internetbeschränkungen installiert haben.

Warum relevant

Organisationen, die Softwareentwicklung mit npm-Paketen betreiben, müssen die Lieferkette ihrer Abhängigkeiten sorgfältig prüfen, um die Einschleusung bösartiger Komponenten zu verhindern. Endnutzer, die unbekannte Software installieren, können unwissentlich Teil eines Botnetzes werden.

Realistisches Worst Case

Browser von Endnutzern werden ohne deren Wissen für DDoS-Angriffe missbraucht, was zu einer Kompromittierung der Geräteintegrität und potenziellen rechtlichen Problemen für die betroffenen Nutzer führen kann. Die Reputation der Organisation, die die bösartigen Pakete hostet oder empfiehlt, könnte ebenfalls leiden.

Handlungsempfehlung

Überprüfen Sie alle npm-Paketabhängigkeiten auf Legitimität und Herkunft. Implementieren Sie Richtlinien für die Softwareinstallation, die die Nutzung nicht verifizierter Drittanbieterpakete einschränken. Schulen Sie Benutzer im Umgang mit unbekannten Softwarequellen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Liste der installierten npm-Pakete in Ihren Entwicklungsumgebungen und auf Endbenutzergeräten auf die 148 bekannten bösartigen Pakete (nicht im Artikel spezifiziert).
  • Implementieren Sie eine Software-Supply-Chain-Sicherheitslösung, die npm-Pakete auf bekannte Schwachstellen und bösartigen Code scannt, bevor sie in der Produktion eingesetzt werden.
  • Überprüfen Sie die Netzwerkprotokolle auf ungewöhnlichen ausgehenden Datenverkehr von Browsern oder Entwicklungsmaschinen, der auf DDoS-Aktivitäten hindeuten könnte.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Resource DevelopmentT1588 Obtain CapabilitiesHigh148 npm Packages Disguised as Student Proxies
Command and ControlT1071 Application Layer ProtocolLowturned Browsers Into a DDoS Botnet
ImpactT1498 Denial of ServiceHighturned Browsers Into a DDoS Botnet
Offene Punkte
  • Die genauen Namen der 148 bösartigen npm-Pakete sind im Artikel nicht spezifiziert.
  • Die spezifischen Ziele der DDoS-Angriffe sind nicht im Artikel spezifiziert.
  • Die genaue Dauer der Kampagne ist nicht im Artikel spezifiziert, außer dass sie im Mai zwei Wochen dauerte.
  • Die genaue Methode, wie die Browser in ein Botnetz verwandelt wurden (z.B. durch JavaScript-Injektion oder Ausführung von bösartigem Code), ist nicht im Artikel spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Möglich
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Resource Development detektieren?
  • Können wir Command & Control detektieren?

MITRE ATT&CK Kill Chain (3 Techniken)

Resource Development
Command & Control