Angriff auf Azure Entwickler

Ein groß angelegter Angriff zielt auf Microsoft Azure-Entwickler durch bösartige npm-Pakete ab. Am Mittwoch erklärten Cybersecurity-Forscher von JFrog, dass Hunderte von bösartigen Paketen identifiziert wurden, die erstellt wurden, um wertvolle persönliche Informationen (PII) von Entwicklern zu stehlen.

Laut den Forschern Andrey Polkovnychenko und Shachar Menashe wurden die Repositories erstmals am 21. März entdeckt und wuchsen innerhalb weniger Tage von etwa 50 bösartigen npm-Paketen auf über 200 an.

Die für die npm-Repositories verantwortlichen Täter haben ein automatisiertes Skript entwickelt, das neben @azure-rest, @azure-tests, @azure-tools und @cadl-lang auch den npm-Bereich @azure angreift.

Das Skript ist verantwortlich für die Erstellung von Konten und das Hochladen der npm-Sets, die Container-Dienste, einen Health-Bot, Tester und Storage-Pakete beinhalten.

JFrog sagt, dass Typosquatting verwendet wurde, um Entwickler zum Herunterladen der Dateien zu verleiten. Zum Zeitpunkt der Erstellung dieses Artikels enthielten diese Pakete Information Stealer Malware.

Typosquatting ist eine Form des Phishings, bei der kleine Änderungen an einer E-Mail-Adresse, einer Datei oder einer Website-Adresse vorgenommen werden, um einen legitimen Dienst oder Inhalt zu imitieren. Ein Angreifer könnte beispielsweise Benutzer von „Ihre-Firma.com“ ansprechen, indem er einen Domänennamen mit „Ihre-Firma.com“ registriert – und durch das Ersetzen eines einzigen Buchstabens hofft er, dass die Opfer nicht bemerken, dass die Ressource betrügerisch ist.

In diesem Fall werden bösartige Pakete mit demselben Namen wie ein bestehendes @azure scope-Paket erstellt, aber sie haben den Bereich weggelassen.

„Der Angreifer macht sich die Tatsache zunutze, dass einige Entwickler bei der Installation eines Pakets fälschlicherweise das Präfix @azure weglassen“, so die Forscher. „Zum Beispiel, indem sie aus Versehen npm install core-tracing ausführen, anstatt den korrekten Befehl – npm install @azure/core-tracing.“

Außerdem wurden alle npm-Pakete mit hohen Versionsnummern versehen, was auf einen Angriff mit Abhängigkeitsverwirrung hindeuten könnte.  „Da dieser Satz legitimer Pakete jede Woche mehrere Millionen Mal heruntergeladen wird, besteht eine hohe Wahrscheinlichkeit, dass einige Entwickler auf den Typosquatting-Angriff hereinfallen“, so JFrog weiter.

JFrog hat eine vollständige Liste der bösartigen npm-Pakete zur Verfügung gestellt, die bisher entdeckt wurden. Die Npm-Maintainer haben die bösartigen Dateien entfernt, aber Azure-Entwickler sollten sich vor weiteren Aktivitäten dieses Bedrohungsakteurs in Acht nehmen.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

9 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

13 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

13 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

14 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

14 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

16 Stunden ago