SecBoard
Zurück zur Übersicht

​ ​AsyncAPI npm packages infected with credential-stealing malware

BleepingComputer·
Originalartikel lesen bei BleepingComputer

Fünf bösartige Versionen von AsyncAPI-Paketen wurden auf npm veröffentlicht und infizierten Nutzer mit einem Remote Access Trojaner, der Zugangsdaten stiehlt. Betroffen sind Entwickler, die diese Pakete heruntergeladen haben. Es wird dringend empfohlen, betroffene Versionen zu deinstallieren und Zugangsdaten zu ändern.

Kurzfassung

Fünf bösartige Versionen von AsyncAPI npm-Paketen wurden veröffentlicht, die Nutzer mit einem Remote Access Trojaner infizierten, der Zugangsdaten stiehlt. Entwickler, die diese kompromittierten Pakete heruntergeladen haben, sind betroffen. Es wird dringend empfohlen, betroffene Versionen zu deinstallieren und Zugangsdaten zu ändern.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Entwickler, die die bösartigen Versionen der AsyncAPI npm-Pakete heruntergeladen haben.

Warum relevant

Organisationen, die AsyncAPI npm-Pakete in ihren Entwicklungsprozessen verwenden, könnten von gestohlenen Zugangsdaten betroffen sein, was zu weiteren Kompromittierungen führen kann.

Realistisches Worst Case

Gestohlene Zugangsdaten könnten Angreifern Zugang zu internen Systemen, Code-Repositories oder Cloud-Umgebungen verschaffen, was zu Datenlecks oder weiteren Systemkompromittierungen führen könnte.

Handlungsempfehlung

Überprüfen Sie Projekte auf die bösartigen AsyncAPI npm-Paketversionen, deinstallieren Sie diese umgehend und ändern Sie alle relevanten Zugangsdaten.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie alle Entwicklungsprojekte auf die Verwendung von AsyncAPI npm-Paketen und deren Versionen, um festzustellen, ob bösartige Versionen installiert wurden.
  • Scannen Sie Entwicklungsumgebungen und Workstations auf Anzeichen eines Remote Access Trojaners oder ungewöhnlicher Netzwerkaktivität.
  • Überprüfen Sie Audit-Logs von Authentifizierungsdiensten auf ungewöhnliche Anmeldeversuche oder Zugriffe nach der Identifizierung betroffener Systeme.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1195 Supply Chain CompromiseHighFünf bösartige Versionen von AsyncAPI-Paketen wurden auf npm veröffentlicht
Credential AccessT1552 Unsecured CredentialsHighinfizierten Nutzer mit einem Remote Access Trojaner, der Zugangsdaten stiehlt
Offene Punkte
  • Die spezifischen Versionen der AsyncAPI npm-Pakete, die bösartig sind, werden im Artikel nicht genannt.
  • Der genaue Mechanismus des Zugangsdatendiebstahls wird nicht detailliert beschrieben.
  • Die Identität der Angreifer oder ihre Motivation wird nicht erwähnt.
  • Die geografische Reichweite der betroffenen Entwickler wird nicht spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Resource Development detektieren?

MITRE ATT&CK Kill Chain (2 Techniken)

Themen
Security