26 lines
2.2 KiB
Markdown
26 lines
2.2 KiB
Markdown
+++
|
|
title = "npm und die Supply Chain Hölle"
|
|
date = "2026-03-30"
|
|
description = "die bisher schlimmste Kompromittierung des Jahres"
|
|
|
|
[taxonomies]
|
|
tags = ["security","meinung","news"]
|
|
+++
|
|
npm - a gift that keeps on giving. Auch diese Woche hat der Node Paketmanager wieder eine der vermutlich bedeutendsten Angriffe des Jahres zu bereitgestellt.
|
|
Konkret hat es axios erwischt, ein Bibliothek für HTTP die wirklich in fast jedem Frontend verbaut ist.
|
|
Der Account des Hauptentwicklers der Bibliothek wurde von den Angreifern übernommen. Diese haben dann axios eine andere Bibliothek als Abhängigkeit hinterlegt
|
|
und bei dieser Dritt-Bibliothek wurde nach der installation ein post-install Skript ausgeführt.
|
|
Post-Install Skripte sind erstmal nichts ungewöhnliches, nur war das Skript in diesem Fall bösartig und sollte je nach Betriebssystem die tatsächliche Malware aus dem
|
|
Internet nachladen (Mehr zu technischen Details bei [StepSecurity](https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan#)).
|
|
|
|
Nun ist es nicht das erste mal, dass der Paketmanager von NodeJS für eine Supply-Chain Attacke missbraucht wird. Ende letzten Jahres hatte es drei mal massivst gekracht,
|
|
wobei der [Shai-Hulud](https://www.heise.de/news/Neuer-NPM-Grossangriff-Selbst-vermehrende-Malware-infiziert-Dutzende-Pakete-10651111.html)(benannt nach dem Sandwurm aus Dune)
|
|
der bekannteste Angriff dieser Art sein dürfte. Shai-Hulud war aber anders konzeptioniert als die aktuelle axios Attacke: Shai-Hulud war ein Wurm, der auf jedem System dass er
|
|
infizierte, nach Zugangsdaten von Entwicklern suchte um weitere Pakete zu manipulieren. Wurden diese manipulierten Pakete installiert, wurde das System kompromittiert und der Spaß
|
|
ging von vorne los. Die axios Schwachstelle verzichtet nach aktuellem Kenntnisstand auf diese Selbstvermehrung, vermutlich weil axios sowieso eines der meistverbreiteten npm Pakete ist.
|
|
|
|
|
|
Kuriose Szene in IT-Deutschland: in der Nacht zum Sonntag den 22 April wurden laut [heise](https://heise.de/-11221345) diverse Admins von der Polizei aus dem Bett geklingelt.
|
|
Der Grund: in den Unternehmen der betreffenden Administratoren wurden die Product Lifecycle Management Programme Windchill und FlexPLM vom Hersteller PTC eingsetzt.
|
|
|