{"id":4618,"date":"2025-09-01T15:07:57","date_gmt":"2025-09-01T15:07:57","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=4618"},"modified":"2025-09-01T15:07:57","modified_gmt":"2025-09-01T15:07:57","slug":"angriffe-auf-npm-lieferkette-gefahrden-entwicklungsumgebungen","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=4618","title":{"rendered":"Angriffe auf npm-Lieferkette gef\u00e4hrden Entwicklungsumgebungen"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Angriffe auf das NX-Build-System und React-Pakete zeigen, dass die Bedrohungen f\u00fcr Softwareentwicklung in Unternehmen immer gr\u00f6\u00dfer werden.\n

Garun .Prdt \u2013 shutterstock.com<\/p>\n<\/div>\n

Ein ausgekl\u00fcgelter Supply-Chain-Angriff hat das weit verbreitete Entwickler-Tool Nx-Build-System-Paket kompromittiert, das \u00fcber den Node Package Manager (npm) installiert und verwendet wird. Dadurch wurden zahlreiche Anmeldedaten von Entwicklern offengelegt. Laut einem neuen Bericht des Sicherheitsunternehmens Wiz<\/a> wurden bei dieser Kampagne KI-Tools eingesetzt, um Datendiebstahl in Unternehmensentwicklungsumgebungen zu erleichtern.<\/p>\n

Nach Angaben der Security-Spezialisten startete der Angriff am 26. August 2025, als die Angreifer mehrere b\u00f6sartige Versionen von Nx-Paketen in der npm-Registry ver\u00f6ffentlichten. \u201eDiese kompromittierten Pakete enthielten Skripte, die nach der Installation systematisch sensible Entwicklerdaten sammelten, hei\u00dft es in ihrem Blogbeitrag. Die Schadsoftware zielte demnach auf Kryptow\u00e4hrungs-Wallets, GitHub- und npm-Token, SSH-Schl\u00fcssel und Umgebungsvariablen von infizierten Unternehmenssystemen ab.<\/p>\n

\u201eDie Malware nutzte installierte KI-CLI-Tools, indem sie sch\u00e4dliche Flags vorgab, um Dateisysteminhalte zu stehlen, und vertrauensw\u00fcrdige Tools f\u00fcr b\u00f6swillige Zwecke ausnutzte\u201c, so die Wiz-Forscher. CLI-Anwendungen (Command Line Interface Tools) erm\u00f6glichen es \u00fcber die Eingabeaufforderung oder das Terminal mit einem Computer oder einer Software zu interagieren, anstatt eine grafische Benutzeroberfl\u00e4che (GUI) zu verwenden.<\/p>\n

Der Zeitpunkt des Nx-Angriffs f\u00e4llt mit einer weiteren bedeutenden Entdeckung in der npm-Lieferkette zusammen: Der auf die Software-Supply-Chain spezialisierte Anbieter JFrog gab k\u00fcrzlich bekannt, dass acht b\u00f6sartige Pakete auf npm ver\u00f6ffentlicht worden waren. Darunter react-sxt, react-typex und react-native-control, die \u201ehochentwickelte mehrschichtige Verschleierung mit mehr als 70 Schichten versteckten Codes\u201c enthielten.<\/p>\n

\u201eOpen-Source-Software-Respositories sind zu einem der wichtigsten Einstiegspunkte f\u00fcr Angreifer im Rahmen von Supply-Chain-Angriffen geworden, wobei zunehmend Typosquatting<\/a> und Masquerading<\/a> eingesetzt werden, um sich als legitim auszugeben\u201c, erkl\u00e4rt der JFrog-Sicherheitsforscher Guy Korolevski in seinem Blogbeitrag <\/a>.<\/p>\n

Mehrere Angriffsvektoren zielen auf das npm-\u00d6kosystem<\/strong><\/h2>\n

Die von JFrog entdeckten sch\u00e4dlichen npm-Pakete richteten sich gegen Nutzer des Chrome-Browsers unter Windows. Sie verf\u00fcgen laut dem Anbieter \u00fcber Funktionen zum Datendiebstahl, mit denen \u201esensible Chrome-Browserdaten aus allen Nutzerprofilen, einschlie\u00dflich Passw\u00f6rtern, Kreditkarteninformationen, Cookies und Kryptow\u00e4hrungs-Wallets\u201c extrahiert werden konnten. \u201eDiese Pakete nutzen zahlreiche Umgehungstechniken, darunter \u201eShadow Copy Bypass, LSASS-Identit\u00e4tswechsel, mehrere Datenbankzugriffsmethoden und die Umgehung von Dateisperren, um einer Entdeckung zu entgehen\u201c, hei\u00dft es im JFrog-Beitrag.<\/p>\n

Was den -NxAngriff betrifft, so ist dessen Umfang betr\u00e4chtlich: Die Forscher von Wiz dokumentierten<\/p>\n

mehr als 1.000 g\u00fcltige GitHub-Token,<\/p>\n

Dutzende g\u00fcltige Cloud-Anmeldedaten und npm-Token sowie<\/p>\n

etwa 20.000 Dateien,<\/p>\n

die \u00fcber Tausende \u00f6ffentlich zug\u00e4nglicher, von Angreifern kontrollierter Repositories geleakt wurden. Die gestohlenen Daten wurden innerhalb der GitHub-Konten der Opfer hochgeladen, die mit Variationen von \u201es1ngularity-repository\u201c benannt waren.<\/p>\n

GitHub reagierte schnell, um den Schaden zu begrenzen, und deaktivierte am 27. August 2025 alle von den Angreifern erstellten Repositories. Allerdings \u201edauerte die Gef\u00e4hrdungsphase etwa acht Stunden und reichte aus, damit diese Repositories vom urspr\u00fcnglichen Angreifer und anderen b\u00f6swilligen Akteuren heruntergeladen werden konnten\u201c, erl\u00e4utern die Wiz-Analysten.<\/p>\n

KI-Tools als Waffen in ausgekl\u00fcgelten Angriffen<\/strong><\/h2>\n

Die Nx-Kampagne zeichnet sich durch den innovativen Einsatz von KI-Tools als Waffen aus. Die Malware brachte installierte KI-Befehlszeilenschnittstellen wie Claude, Gemini und Q mit gef\u00e4hrlichen Berechtigungs-Flags wie \u201e\u2013dangerously-skip-permissions\u201c, \u201e\u2013yolo\u201c und \u201e\u2013trust-all-tools\u201c dazu, Dateisysteminhalte zu extrahieren und Aufkl\u00e4rungsoperationen durchzuf\u00fchren.<\/p>\n

\u201eWir haben beobachtet, dass diese KI-gest\u00fctzten Angriffe in Hunderten von F\u00e4llen erfolgreich waren, obwohl die Schutzma\u00dfnahmen der KI-Anbieter manchmal gegriffen haben\u201c, hei\u00dft es im Wiz-Bericht.<\/p>\n

Die Attacke startete von einem anf\u00e4lligen GitHub-Actions-Workflow aus, \u00fcber den Code mittels unbereinigter Pull-Request-Titel eingeschleust wurde. \u201eEine Sicherheitsl\u00fccke erm\u00f6glichte es, beliebige Befehle auszuf\u00fchren, wenn ein b\u00f6sartiger PR-Titel eingereicht wurde, w\u00e4hrend der pull_request_target-Trigger erweiterte Berechtigungen gew\u00e4hrte\u201c, so die Forscher.<\/p>\n

Die Auswirkungen des Angriffs reichten \u00fcber einzelne Entwicklerrechner hinaus bis hin zu Build-Pipelines und CI\/CD-Systemen von Unternehmen. \u201eIn vielen F\u00e4llen scheint die Malware auf Entwicklerrechnern gelaufen zu sein, oft \u00fcber die NX VSCode-Erweiterung. Wir haben auch F\u00e4lle beobachtet, in denen die Malware in Build-Pipelines wie Github Actions lief\u201c, so die Sicherheitsexperten.<\/p>\n

Unternehmen arbeiten an Abhilfema\u00dfnahmen<\/strong><\/h2>\n

Sowohl npm als auch die betroffenen Sicherheitsanbieter haben Ma\u00dfnahmen ergriffen, um die b\u00f6sartigen Pakete zu entfernen. JFrog meldete seine Erkenntnisse an npm und die b\u00f6sartigen React-Pakete wurden aus dem Repository entfernt. JFrog Xray wurde ebenfalls aktualisiert, um die b\u00f6sartigen Pakete zu erkennen, hei\u00dft es im Beitrag des Anbieters.<\/p>\n

Mehrere Versionen der Kernkomponenten von Nx waren kompromittiert, darunter verschiedene Releases von @nrwl\/nx, nx, @nx\/devkit, @nx\/enterprise-cloud und mehrere andere verwandte Pakete in den Versionen 20.9.0 bis 21.8.0. Die gestohlenen Unternehmensdaten wurden vor dem Hochladen in die b\u00f6sartigen Repositories \u201edoppelt und dreifach Base64-verschl\u00fcsselt\u201c, obwohl diese Verschl\u00fcsselungsmethode \u201eleicht zu entschl\u00fcsseln ist, was bedeutet, dass diese Daten als praktisch \u00f6ffentlich behandelt werden sollten\u201c, warnten die Forscher in ihrem Bericht.<\/p>\n

Diese Vorf\u00e4lle stellen eine wachsende Bedrohung f\u00fcr die Lieferketten von Unternehmenssoftware da, in denen Betriebe meist auf Hunderte oder Tausende von Paketen von Drittanbietern angewiesen sind. Im Gegensatz zu herk\u00f6mmlichen perimeterbasierten Angriffen umgehen Software-Supply-Chain-Attacken die meisten Sicherheitskontrollen von Unternehmen. Dabei wird das inh\u00e4rente Vertrauen ausgenutzt, das Unternehmen in legitime Softwarepakete setzen.<\/p>\n

Korolevski empfiehlt, mit rigorosen, automatisierten Scans die gesamte Software-Lieferkette transparent zu machen.<\/p>\n

Die Forscher von Wiz raten,<\/p>\n

b\u00f6sartige Nx-Versionen sofort zu entfernen und gepatchte Alternativen zu verwenden,<\/p>\n

Shell-Konfigurationsdateien manuell auf b\u00f6sartige \u00c4nderungen zu \u00fcberpr\u00fcfen und<\/p>\n

umfassende Ma\u00dfnahmen zur Rotation von Anmeldedaten durchzuf\u00fchren.<\/p>\n

\u201eWiderrufen und regenerieren Sie alle GitHub-Token, npm-Token, SSH-Schl\u00fcssel, API-Schl\u00fcssel und Geheimnisse von Umgebungsvariablen, die in diesen Repositories m\u00f6glicherweise offengelegt wurden\u201c, dr\u00e4ngen die Experten.<\/p>\n

JFrog schloss sich dieser Empfehlung an und erkl\u00e4rte: \u201eEntwickler, die diese Pakete heruntergeladen oder verwendet haben, sollten potenziell kompromittierte Anmeldedaten rotieren, ihre Systeme auf verd\u00e4chtige Aktivit\u00e4ten \u00fcberpr\u00fcfen und sicherstellen, dass sie automatisierte Sicherheitsma\u00dfnahmen f\u00fcr die Software-Lieferkette einsetzen.\u201c<\/p>\n

Die Kombination aus KI-gest\u00fctzter Aufkl\u00e4rung im Nx-Angriff und mehrschichtigen Verschleierungstechniken in den React-Paketen zeigt, wie schnell Cyberkriminelle ihre Methoden anpassen, um die Entwicklerumgebungen von Unternehmen auszunutzen. \u201eObwohl die kompromittierten Pakete aus npm entfernt wurden, k\u00f6nnen sie m\u00f6glicherweise weiterhin lokal auf Systemen ausgef\u00fchrt werden, auf denen sie zuvor installiert waren\u201c, warnen die Forscher von Wiz. (jm)<\/p>\n

<\/a><\/p>\n

\u00a0<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Angriffe auf das NX-Build-System und React-Pakete zeigen, dass die Bedrohungen f\u00fcr Softwareentwicklung in Unternehmen immer gr\u00f6\u00dfer werden. Garun .Prdt \u2013 shutterstock.com Ein ausgekl\u00fcgelter Supply-Chain-Angriff hat das weit verbreitete Entwickler-Tool Nx-Build-System-Paket kompromittiert, das \u00fcber den Node Package Manager (npm) installiert und verwendet wird. Dadurch wurden zahlreiche Anmeldedaten von Entwicklern offengelegt. Laut einem neuen Bericht des Sicherheitsunternehmens […]<\/p>\n","protected":false},"author":0,"featured_media":4619,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-4618","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4618"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4618"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/4618\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/4619"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4618"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4618"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4618"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}