Categories: SicherheitVirus

Malware in weit verbreiteter NPM-Bibliothek entdeckt

Cyberkriminellen ist es gelungen, in die NPM-Bibliothek UA-Parser-JS Schadcode einzuschleusen. Die häufig genutzte Bibliothek zählt mehrere Millionen Downloads pro Woche. Zuletzt enthielt sie jedoch Kryptominer und Passwörter stehlende Trojaner, die in der Lage sind, Linux- und Windows-Geräte zu infizieren.

Wie BleepingComputer berichtet, wurde die mit Schadcode versehene Version der Bibliothek am 22. Oktober veröffentlicht. Der Entwickler der Bibliothek bestätigte demnach, dass sein NPM-Konto gehackt und insgesamt drei verschiedene schädliche Versionen der UA-Parser-JS-Bibliothek eingeschleust wurden.

“Ich habe etwas Ungewöhnliches bemerkt, als meine E-Mail plötzlich mit Spam von Hunderten von Websites überflutet wurde (vielleicht, damit ich nicht merke, dass etwas nicht stimmt, zum Glück ist der Effekt genau das Gegenteil)”, erklärte Faisal Salman, der Entwickler von UA-Parser-JS, in einem Fehlerbericht. Betroffen waren ihm zufolge die Versionen 0.7.29, 0.8.0 und 1.0.0, die inzwischen durch die bereinigten Versionen 0.7.30, 0.8.1 und 1.0.1 ersetzt wurden.

Laut einer Analyse von BleepingComputer prüft die Malware bei ihrer Installation zuerst das Betriebssystem. Unter Linux richtet sie dann den Miner XMRig ein, der die Kryptowährung Monero schürft. Unter Windows wird zusätzlich zu XMRig noch ein bisher nicht eindeutig identifizierter Trojaner eingeschleust, der es auf Kennwörter von FTP-Clients, VNC, Messaging-Anwendungen, E-Mail-Clients und Browsern abgesehen haben soll.

Inzwischen warnt auch die US-Cybersicherheitsbehörde CISA vor diesem Angriff auf die Lieferkette. Sie verweist auf eine Sicherheitsmeldung von GitHub, wonach jegliche Computer, auf denen eine der schädlichen Versionen der Bibliothek installiert wurden, als vollständig kompromittiert angesehen werden sollten. “Alle auf diesem Computer gespeicherten Geheimnisse und Schlüssel sollten sofort von einem anderen Computer aus ausgetauscht werden.”

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Bericht: Nvidia gibt Übernahme von ARM auf

Angeblich trifft der US-Chiphersteller erste Vorbereitungen für die Rücknahme seines Kaufangebots. Auslöser sind die geringen…

13 Stunden ago

Topics: Google stellt neuen Cookie-Nachfolger vor

Er löst den gescheiterten Vorschlag FLoC ab. Google verspricht mit Topics mehr Transparenz und Einflussnahme…

14 Stunden ago

Microsoft steigert Umsatz und Gewinn im zweiten Fiskalquartal

Die Cloud-Sparte ist erneut ein wichtiger Wachstumsmotor. Aber selbst das Geschäft mit Windows-OEM-Lizenzen erzielt ein…

15 Stunden ago

Aktives Scannen: den Hackern einen Schritt voraus

In der vernetzten Produktion wachsen IT und OT zusammen. Damit steigt das Sicherheitsrisiko deutlich bis…

2 Tagen ago

Covid-19-Impfkampagne: Digitale Koordination von Impfterminen

Kassenärztliche Vereinigung Schleswig-Holstein setzt auf Online-Portal mit Oracle-Technologie.

2 Tagen ago

Allianz Risk Barometer 2022: Cyberangriffe weltweites Top-Risiko für Unternehmen

Elfte Umfrage der Allianz: Cyber, Betriebsunterbrechung und Naturkatastrophen sind weltweit die drei größten Geschäftsrisiken in…

3 Tagen ago