Manipulierte Open-Source-Pakete auf npm entdeckt

Gonzo-3004 · August 29, 2025 at 6:38 PM

Das Security Research Team des Supply Chain-Anbieters JFrog hat eine komplexe Bedrohung für die Lieferkette auf npm entdeckt, einem Open-Source-Software-Repository.

Den Forschern zufolge handelt es sich um acht bösartigen Paketen auf npm, einem der weltweit größten Repositorys für Open-Source-JavaScript-Komponenten, das von 17 Millionen Entwicklern genutzt wird.

Die Pakete, darunter react-sxt (Version 2.4.1), react-typex (Version 0.1.0) und react-native-control (Version 2.4.1), wurden von böswilligen npm-Benutzern hochgeladen und enthielten eine hochentwickelte multi-layer Verschleierung mit über 70 Layern versteckten Codes, die es Angreifern ermöglichte, bösartige Payloads auf Entwicklerrechnern ohne Benutzerinteraktion auszuführen.

Mehr Infos auf Deutsch

tomherb · August 29, 2025 at 6:58 PM

Naja ist eben js, das war noch niemals sicher, es wurde nur durchgedrückt.

Ich selbst vermeide es wo es geht.

Tuxine · August 29, 2025 at 7:39 PM

Nur zur Info:
Die betreffenden Pakete wurden schon gelöscht.

/su · August 29, 2025 at 7:41 PM

Quote from josefine

Nur zur Info:
Die betreffenden Pakete wurden schon gelöscht.

Zum Glück.

Ich frage mich nur wieso es meistens die Nutzer betrifft?

Quote

Die endgültige Payload richtete sich gegen Windows-Chrome-Benutzer.

tomherb · August 29, 2025 at 7:43 PM

Quote from josefine

Nur zur Info:
Die betreffenden Pakete wurden schon gelöscht.

Danke für die Info.

Quote from /su

Zum Glück.
Ich frage mich nur wieso es meistens die Nutzer betrifft?

Naja bei AUR war es gezielt auf Unwissende, eben nur Nutzer gerichtet und da Chrome ja nun wirklich dort viel vertreten ist, ist es logisch. Bei Win ist Chrome auch viel vertreten, denn viele Win Nutzer nehmen ihn lieber als jeden anderen.

harihegen · August 29, 2025 at 8:04 PM

Bei npm würde man es vermutlich gar nicht wirklich mit bekommen. Die Abhängigkeiten dort sind relativ undurchsichtig.

Participate now!