Schaedliches npm-Paket
Was ist Schaedliches npm-Paket?
Schaedliches npm-Paketnpm-Paket mit verstecktem Code, der bei der Installation Daten stiehlt, Malware nachlaedt oder nachgelagerte Anwendungen kompromittiert.
Ein boesartiges npm-Paket missbraucht das Vertrauen, das JavaScript-Entwickler in die oeffentliche npm-Registry setzen. Angreifer veroeffentlichen neue Pakete, uebernehmen verlassene Projekte oder kompromittieren Maintainer-Konten, um manipulierte Versionen weit verbreiteter Bibliotheken auszuliefern. Typische Nutzlasten: Credential- und Token-Stealer, Crypto-Wallet-Drainers, Dropper, die per npm-Lifecycle-Skript schon bei der Installation laufen. Bekannte Faelle: event-stream (2018), wo ein neuer Maintainer einen Copay-Wallet-Dieb einschleuste, und ua-parser-js (2021), dessen kompromittierte Versionen Miner und Passwortdiebe auf Millionen Rechnern installierten. Schutz: Lockfiles, --ignore-scripts, 2FA fuer Maintainer, SBOMs, Dependency-Scanner und Provenance-Attestationen.
● Beispiele
- 01
event-stream 2018: ein neuer Maintainer fuegt flatmap-stream hinzu, um Copay-Wallets zu plundern.
- 02
ua-parser-js 2021: gekaperte Versionen installierten einen Crypto-Miner und einen Passwortdieb.
● Häufige Fragen
Was ist Schaedliches npm-Paket?
npm-Paket mit verstecktem Code, der bei der Installation Daten stiehlt, Malware nachlaedt oder nachgelagerte Anwendungen kompromittiert. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Schaedliches npm-Paket?
npm-Paket mit verstecktem Code, der bei der Installation Daten stiehlt, Malware nachlaedt oder nachgelagerte Anwendungen kompromittiert.
Wie funktioniert Schaedliches npm-Paket?
Ein boesartiges npm-Paket missbraucht das Vertrauen, das JavaScript-Entwickler in die oeffentliche npm-Registry setzen. Angreifer veroeffentlichen neue Pakete, uebernehmen verlassene Projekte oder kompromittieren Maintainer-Konten, um manipulierte Versionen weit verbreiteter Bibliotheken auszuliefern. Typische Nutzlasten: Credential- und Token-Stealer, Crypto-Wallet-Drainers, Dropper, die per npm-Lifecycle-Skript schon bei der Installation laufen. Bekannte Faelle: event-stream (2018), wo ein neuer Maintainer einen Copay-Wallet-Dieb einschleuste, und ua-parser-js (2021), dessen kompromittierte Versionen Miner und Passwortdiebe auf Millionen Rechnern installierten. Schutz: Lockfiles, --ignore-scripts, 2FA fuer Maintainer, SBOMs, Dependency-Scanner und Provenance-Attestationen.
Wie schützt man sich gegen Schaedliches npm-Paket?
Schutzmaßnahmen gegen Schaedliches npm-Paket kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Schaedliches npm-Paket?
Übliche alternative Bezeichnungen: Manipuliertes Paket, Boesartiger npm-Release.
● Verwandte Begriffe
- attacks№ 1183
Typosquatted Package
Schaedliches Open-Source-Paket, das unter einem einer beliebten Bibliothek sehr aehnlichen Namen veroeffentlicht wird, damit Entwickler es versehentlich installieren.
- appsec№ 304
Dependency-Confusion-Angriff
Supply-Chain-Angriff, bei dem ein Angreifer ein bösartiges Paket mit dem Namen einer internen Abhängigkeit in einer öffentlichen Registry veröffentlicht, sodass Build-Tools die öffentliche Version laden.
- attacks№ 1116
Supply-Chain-Angriff
Angriff, der einen vertrauenswürdigen Software-, Hardware- oder Dienstleister kompromittiert, um dessen nachgelagerte Kunden zu erreichen.
- attacks№ 1097
Starjacking
Lieferketten-Trick, bei dem ein boesartiges Paket faelschlich auf ein populaeres GitHub-Repo verweist, um dessen Sterne, Mitwirkende und Reputation zu erben.
- attacks№ 868
Protestware
Open-Source-Software, deren Maintainer absichtlich politisch motivierten Code einbringt, der eine Botschaft anzeigt oder Nutzer in einem als Ziel wahrgenommenen Land sabotiert.