[Externer Link] Webseite - Autonome Provinz Bozen - Südtirol
News

10 npm-Pakete, die unter Windows, macOS und Linux entdeckt wurden, stehlen Entwickleranmeldedaten

28.10.2025, 23:00

Cybersecurity-Forscher entdeckten eine Reihe von 10 bösartigen npm-Paketen, die darauf ausgelegt sind, einen Informationsdiebstahl auf Windows-, Linux- und macOS-Systemen zu installieren.

"Die Malware verwendet vier Verschleierungsschichten, um die Nutzlast zu verbergen, zeigt ein gefälschtes CAPTCHA an, um legitim zu erscheinen, erstellt Fingerabdrücke von Opfern über die IP-Adresse und lädt eine 24 MB große Datei (gepackt mit PyInstaller) herunter, die Anmeldeinformationen von Systemschlüsselbüchern, Browsern und Authentifizierungsdiensten sammelt", erklärt Kush Pandya, Forscher bei Socket Security.

Die infizierten Pakete wurden am 4. Juli 2025 in die npm-Registry hochgeladen und insgesamt mehr als 9.900 Mal heruntergeladen.

Zu den verwendeten Namen gehören:

  • deezcord.js
  • dezcord.js
  • dizcordjs
  • etherdjs
  • ethesjs
  • ethetsjs
  • nodemonjs
  • react-router-dom.js
  • typescriptjs
  • zustand.js

Diese Pakete sind Beispiele für Typosquatting: Sie imitieren populäre Bibliotheksnamen (TypeScript, discord.js, ethers.js, nodemon, react-router-dom, zustand), um Entwickler dazu zu bringen, versehentlich die bösartige Komponente zu installieren.

So funktioniert der Angriff

  1. Automatische Ausführung nach der Installation
    Das bösartige Verhalten wird automatisch während der Installation über ein Postinstall-Skript namens install.js ausgelöst. Dieses Skript erkennt das verwendete Betriebssystem und startet eine verschleierte Nutzlast (app.js) in einem neuen Terminalfenster (Eingabeaufforderung unter Windows, GNOME-Terminal oder anderes Terminal unter Linux, Terminal unter macOS).
  2. Visuelle Umgehung
    Durch das Öffnen eines neuen Terminalfensters trennt sich die Malware vom npm-Prozess und arbeitet im Hintergrund. In der Zwischenzeit nimmt das Installationsprogramm einen normalen Installationsprozess wahr, ohne dass ein Verdacht aufkommt.
  3. Mehrstufige Verschleierung
    Der app.js-Code wird auf vier Ebenen verschleiert: XOR-Verschlüsselung mit einem dynamischen Schlüssel, Url-Codierung der Nutzlast, Verwendung von Hexadezimal- und Oktal-Operationen zur Verschleierung des Programmablaufs und andere Techniken, die eine statische Analyse erschweren sollen.
  4. Diebstahl von Zugangsdaten
    Nach der Ausführung lädt die Malware eine "data_extracter"-Binärdatei vom Remote-Server (Adresse "195.133.79[.]43") herunter und führt sie aus, die das System nach Schlüsseln, Zugangsdaten, aktiven Sitzungen, Cookies, Konfigurationsdateien, SSH-Schlüsseln, Token usw. durchsucht. Der Code zielt insbesondere auf Systemschlüsselbunde ab, in denen die von E-Mail-Clients, Cloud-Synchronisierung, VPNs, Passwortmanagern und anderen Diensten verwendeten Anmeldeinformationen gespeichert sind, um unverschlüsselte Daten zu extrahieren.
  5. Exfiltration
    Die gesammelten Informationen werden in ein ZIP-Archiv komprimiert und auf den Server des Angreifers übertragen.

Sicherheitsimplikationen und Empfehlungen

  • Entwickler gehen oft davon aus, dass ein npm-Modul mit einem bekannten (wenn auch leicht falschen) Namen sicher ist: Dieser Angriff zeigt das reale Risiko von Typosquatting im Kontext von Open-Source-Bibliotheken.
  • Der massive Einsatz von Verschleierung erschwert es automatischen Überprüfungen (statischen Scannern), verdächtiges Verhalten zu erkennen.
  • Die kontinuierliche Aktualisierung von Registrierungsprüfungen, die Überprüfung der Integrität von Paketen (z. B. mit Signaturen) und die dynamische Analyse können dazu beitragen, diese Art von Bedrohung zu entschärfen.
  • Entwickler sollten:
    1. Den Namen von Paketen sorgfältig prüfen, bevor sie sie installieren.
    2. Gut gewartete Pakete mit etabliertem Ruf (Popularität, verifizierte Betreuer, Signaturen) bevorzugen.
    3. Isolierte Testumgebungen einrichten, um unbekannte Pakete zu testen.
    4. Überwachen Sie abnormales Verhalten (z. B. Hintergrundprozesse, verdächtige Verbindungen, unerwartete Dateierstellung).

Referenzen

  1. 10 npm-Pakete, die unter Windows, macOS und Linux beim Stehlen von Entwickleranmeldeinformationen erwischt wurden

SOC

Andere Pressemitteilungen dieser Kategorie

Finanziato dall'Unione europea
[external Link]: Dipartimento per la trasformazione digitale
[external Link]: ACN
[external Link]: Siag

Datenschutzerklärung

Diese Website verwendet technische und analytische Cookies sowie, mit Ihrer Zustimmung, Cookies von Dritten, um Ihnen ein besseres Surferlebnis zu bieten. Wenn Sie auf „Akzeptieren“ klicken, stimmen Sie der Verwendung von Cookies von Dritten zu; wenn Sie auf "Ablehnen" klicken, können Sie fortfahren, ohne zu akzeptieren: In diesem Fall werden nur technische und analytische Cookies verwendet, aber einige Funktionen und Inhalte sind möglicherweise nicht verfügbar. Klicken Sie auf „Mehr erfahren und anpassen“, um mehr über die verwendeten Cookies zu erfahren und Ihre Zustimmung zu erteilen, die Sie jederzeit frei verweigern, widerrufen oder erteilen können. Weitere Einzelheiten sind in der vollständigen Cookie-Richtlinie zu finden.