Seit Anfang Juli diesen Jahres waren Pakete im JavaScript-Paketmanager npm mit gut verstecktem Schadcode verfügbar. Das Unternehmen Socket hat zehn Pakete gefunden, die zusammen auf 9900 Downloads kommen. Am 28. Oktober waren diese laut dem Socket-Blog noch auf npm verfügbar, sind dort inzwischen aber nicht mehr zu finden.

Mit den Paketen wird ein für das Betriebssystem passender Infostealer nachgeladen, der unter Windows, macOS und Linux Zugangsdaten abgreift. Der Angriff ist mehrfach verschleiert.

Bei der Verteilung des Schadcodes setzen die Angreifer auf Typosquatting. Ähnliche Namen wie legitime Packages tragen die npm-Pakete (darunter typescriptjs statt TypeScript und dizcordjs statt discord.js).

typescriptjs, deezcord.js, dizcordjs ,dezcord.js, etherdjs, ethesjs, ethetsjs, nodemonjs, react-router-dom.js und zustand.js sind Pakete, in denen Socket Schadcode gefunden hat.

Im Socket-Blog finden sich weitere Details zu den betroffenen Paketen, der Netzwerkinfrastruktur und den verwendeten MITRE ATT&CK-Techniken.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE