Eine angriffswelle auf die npm-Lieferkette Legt Tausende von Anmededaten von Entwicklern Offen.
Ein Ausgeklügelter Supply-Chain-Angriff Hat Das weit Verbreitete Entwickler-Tool NX-Build-System-Paket KOMPROMITTTIERERT, DAS über Den Node Package Manager (NPM) InstalliTirt und Verwendet Wird. Dadurch Wurden Zahlreiche Anmededaten von Entwicklern Offengelegt. Laut Einem Neuen Bericht des Sicherheitsunternehmens Wiz Wurden Bei dieser Kampagne Ki-Tools Eingesetzt, Um Datetendiebstahl à UnternehMensentwickLungsumgebungen Zu Erleichtern.
Nach Angaben Der Security-SPEZIALISTEN Starttee Der angriff Am 26. août 2025, ALS Die Angreifer Mehrere Bösartige Versionen von nx-Paketen dans Der NPM-Registry Veröffentlichten. „Diese Kompromittierten pakete enthielten skripte, die nach der installation systématisch Entwicklerdaten sammelten, heißt es in ihrem blogbeitrag. Die schadsoftware zielte Demnach auf kryptowährungs-wallet, github- und npm-tukin, ssh-schlüsse Umgebungsvariabblen von infizierten unternehmensSystemen AB.
„Die Malware Nutzte Installierte Ki-Cli-Tools, Indem Sie Schädliche Flags Vorgab, um dateisysteminhalte zu Stehlen, und vertrauenswürdige outils für böswillige zwecke ausnutzte”, So Die-Forscher. CLI-ANWENDUNGEN (outils d’interface de ligne de commande) Ermöglichen es über die eingababeufforderung oder das terminal mit einem ordinateur oder einer logiciel zu interagieren, anstatt eine grafische benutzeroberfläche (gui) zu verwenden.
Der Zeitpunkt des Nx-Angriffs fällt mit einer weiteren bedeutenden Entdeckung in der npm-Lieferkette zusammen: Der auf die Software-Supply-Chain spezialisierte Anbieter JFrog gab kürzlich bekannt, dass acht bösartige Pakete auf npm veröffentlicht worden waren. Darunter React-Sxt, React-Typex und React-Native-Control, Die „Hochentwickelte Mehrschichtige Verschleierung Mit Mehr als 70 Schichten Versteckten Codes« Entheelten.
„Open-source-software-respositories Sind Zu einem der wichtigsten einstiegspunkte für angreifer im rahmen von Supply-Chain-Angriffen Geworden, Wobei Zunehmend Typosqueting und Masquerading Eingesetzt Werden, Um Sich als Legtitim Auszugeben«, erklert. JFrog-SicherHeitsforscher Guy Korolevski dans Seinem Blogbeitrag.
Mehrere angriffsvektoren zielen auf das npm-ökosystem
Die von Jfrog Entdeckten Schädlichen NPM-PAKETE Richteten Sich Gegen Nutzer des Chrome-Browsers Unter Windows. Sie Verfügen Laut dem anbieter über funktionen zum Datendiebstahl, MIT Denen „Sensible Chrome-Browserdaten Aus Allen Nutzerprofilen, Einschließlich Passwörtern, Kreditkarteninformationen, cookies und kryptowährungs-wallets“ Extahieert waserden konntre. „Diese Pakete Nutzen Zahlreiche Umgehungstechniken, Darunter„ Bypass de copie de l’ombre, LSASS-Identitätswechsel, Mehrere Datenbankzugriffsmethoden und die umgehung von dateisperren, um einer endeckung zu enthenhen « , heißt es imi jfrogweitrag.
Était den -nxangriff Betrifft, donc ist Dessen umfang beträchtlich: die forscher von wiz dokumierten
- mehr als 1.000 gültige güb-token,
- Dutzende Gültige Cloud-Anmededaten und NPM-Token Sowie
- ETWA 20.000 DATEIEN,
Die über Tausende Öffentlich Zugänglicher, von Angreifern Kontrollierter RepOSTIES Geleakt Wurden. Die gestohlenen daten wurden innerhalb der github-konten der opfer hochgeladen, die mit variationen von „s1ngularity-repository« Benannt waren.
Github Reagierte Schnell, Um den Schaden Zu Begrenzen, und Deaktivierte Am 27. août 2025 Alle von den Angreifern Erstellten Repositaires. Allerdings „dauerte die gefährdungsphase etwa acht sunden und reichte aus, damit diese repotings vom ursprünglichen angreifer und anderen böswilligen akteuren Heruntergeladen werden konnten“, erläutern die wiz-annysten.
Ki-Tools Als Waffen à Ausgeklügelten Antriffen
Die nx-kampagne zeichnet sich durch den innovativen einsatz von ki-tools als waffen aus. Die malware brachte installlierte ki-befehlszeilenschnittstellen wie claude, gemini und q mit gefährlichen belechtigungs-plags wie „–dangerely-skip-permissions”, „–yolo » und « –prust-all-toolils » dazu, dateisystic AufklärungsOperationen Durchzuführen.
„Wir Haben Beobachtet, Dass Diese Ki-Getützten Antriffe à Hunderten von Fällen Erfolgreich Waren, Obwohl Die Schutzmaßnahmen der Ki-Anbieter Manchmal Gegriffen Haben”, Heißt es imi wiz-Bericht.
Die Attacke Startte von einem anfälligen github-actions-workflow aus, übern code mittels déreinigter till-request-titel eingeschleust wurde. „Eine Sicherheitslücke Ermöglichte es, croybige befehle Auszuführen, Wenn Ein Bösartiger Pr-titel Eingereicht Wurde, Während der Pull_request_target-Trigger Erweiterte Berechtigntinggen Gewährte », So Die ForScher.
Die Auswirkungen des angriffs Reichten über Einzelne Entwicklerchner Hinaus bis hin zu build-pipelines und ci / cd-systemen von unternehmen. „Dans Vielen Fällen Scheint die malware auf Entwicklerrechnern Gelaufen Zu Sein, Oft über die nx vscode-erweiterung. Wir Haben auch fälle Beobachtet, dans Dennen Die Maleware in Build-pipelines wie github actions lief“, so Die Sicherheheitsexperten.
Unternehmen arbeiten un abhilfemaßnahmen
Sowohl npm als auch die betroffennen Sicherheitsanbieter Haben Maßnahmen Ergriffen, um die bösartigen Pakete Zu Entfernen. JFrog Meldete Seine Erkenntnisse un npm und die bösartigen react-pakete wurden aus dem.Entfernt. Jfrog xray wurde eBenfalls aktualisiert, um die bösartigen paktee zu erkennen, heißt es im beitrag des anbieters.
Mehrere Versionen Der Kernkomponenten von nx Waren Kompromittierert, Darunter Verschiedene publie von @ nrwl / nx, nx, @ nx / devkit, @ nx / enterprise-cloud und mehrere andere verwandte paktete in Den version 20.9.0 bis 21.8.0. Die gestohlenen Unternehmensdaten wurden vor dem Hochladen in die bösartigen Repositories „doppelt und dreifach Base64-verschlüsselt“, obwohl diese Verschlüsselungsmethode „leicht zu entschlüsseln ist, was bedeutet, dass diese Daten als Praktisch Öffentlich Behandelt Werden Sollten “, Warnten Die Forscher dans Ihrem Bericht.
Diese Vorfälle Stellen Eine Wachsende Bedrohung für die lieferketten von unternehmenssoftware da, in denen bedmebe meist auf hunderte oder tausende von paketen von drittanbietern angewiesen sind. IM Gegensatz Zu Herkömmlichen PerimètreBasierten Angriffen Umgehen Support-Chain-Attacken Die Meisten Sicherheitskontrollen von Unternehmen. Dabei wird das inhärente vertrauen Ausgeutzt, das unternehmen in légitime softwarepakete setzen.
Korolevski Empfiehlt, MIT Rigorosen, Automatisierten scans Die Gesamte Software-Lieferkette Transparent Zu Machen.
Die Forscher von Wiz Ratetens,
- Bösartige NX-Versionen Sofort Zu Entfernen und Gepatchte Alternativen Zu Verwenden,
- Shell-KonfigurationsDateien Manuell auf Bösartige änderungen Zu überprüfen und
- Umfassende Maßnahmen Zur Rotation von Anmededaten Durchzuführen.
„WiDerrufen und Regegeren Sie alle github-token, npm-token, ssh-scchlüssel, api-Schlüssel und geheimnisse von umgebungsvariabblen, die in diesen repositories Möglicherwerweise offengengt wurden“, diesen die experten.
Jfrog Schloss sich dieser emprehlung an und erklärte: „Entwickler, die diese pakete Heruntergeladen oder verwendet Haben, sollten potenziell kOMprotiltierte anmeldededen rotiveren, ihre systeme auf Verdächtige aktivitäten überpralpir Dass Sie Automatisierte Sicherheitsmaßnahmen für die Software-Lieferkette einsetzen. «
Die Kombination Aus Ki-Getützter aufklärung im nx-Angriff und mehrschichtigen Verschleierungstechniken in Den React-Paketen Zeigt, Wie Schnell Cyberkriminelle Ihre Methodin Anpassen, Um Die Entwickleggen Von Unternehmen AuszunUtzen. „Obwohl die kompromittierten pakete aus npm Entfernt Wurden, Können Sie Möglicherwerweise Weiterhin Lokal Auf Systemen Ausgeführt Werden, Auf denen Sie Zuvor Installit Waren”, Warnen Die Forscher Von Wiz. (JM)
