Packagist Supply-Chain-Angriff: 8 Pakete mit Linux-Malwar…

Ein koordinierter Supply-Chain-Angriff auf Packagist hat acht Pakete infiziert. Die Malware wird von GitHub gehostet und zielt auf JavaScript-Projekte ab.

Supply-Chain-Angriff Packagist

Der Angriff im Detail

Supply-Chain-Angriff Packagist

Ein neuer koordinierter Supply-Chain-Angriff hat acht Pakete auf Packagist infiziert, die bösartigen Code enthalten, der ein von einer GitHub-Releases-URL heruntergeladenes Linux-Binary ausführt. Sicherheitsforscher von Socket entdeckten die Kampagne und berichteten, dass der schädliche Code nicht in composer.json, sondern in package.json eingeschleust wurde – ein ungewöhnlicher Schritt, der zeigt, wie Angreifer ihre Taktiken anpassen.

Die Angreifer nutzten GitHub als Hosting-Plattform für die ausführbare Linux-Datei. Das Binary wird während der Paketinstallation abgerufen und ausgeführt, was eine Remotekontrolle über das betroffene System ermöglicht. Die Infektion zielt explizit auf Projekte ab, die JavaScript verwenden – selbst wenn die Pakete eigentlich für Composer (PHP) gedacht sind.

Welche Pakete sind betroffen?

Supply-Chain-Angriff Packagist

Die betroffenen Pakete wurden inzwischen von Packagist entfernt, aber die genauen Namen hat Socket aus Sicherheitsgründen noch nicht veröffentlicht. Es ist jedoch bekannt, dass es sich um beliebte Pakete handelte, die in der PHP-Community weit verbreitet waren. Wenn du eines dieser Pakete in deinem Projekt verwendest, solltest du deine Abhängigkeiten sofort überprüfen.

Warum gerade package.json?

Die Wahl von package.json statt composer.json ist clever: PHP-Entwickler, die auch JavaScript nutzen, erwarten dort keine bösartigen Einträge. Viele CI/CD-Pipelines scannen nur composer.lock oder composer.json – der Schadcode in package.json bleibt so unter dem Radar. Du solltest also nicht nur deine PHP-Abhängigkeiten prüfen, sondern auch die package.json-Dateien in deinen Projekten.

Wie schützt man sich?

Folgende Maßnahmen helfen, solche Angriffe zu erkennen: Überprüfe regelmäßig deine package.json auf ungewöhnliche Skripte oder ausführbare Befehle. Nutze Paket-Scanner wie Socket oder Snyk, die auch auf versteckte Malware achten. Aktualisiere deine Abhängigkeiten nur von vertrauenswürdigen Quellen und meide Pakete, die ungewöhnliche Build-Skripte enthalten.

Fazit: Ein Weckruf für die Open-Source-Community

Dieser Angriff zeigt, dass Supply-Chain-Angriffe immer raffinierter werden. Die Kombination aus Packagist, GitHub und package.json ist neu und gefährlich. Als Entwickler solltest du wachsam bleiben – nicht nur bei deinen primären Paketmanagern, sondern in allen Konfigurationsdateien deines Projekts. Die Zeiten, in denen man blind vertraute, sind vorbei.

Comments

Post a Comment

Popular posts from this blog

TP-Link Tapo 3.18.116 APK Review: Smart Home App Update

Image
The TP-Link Tapo app version 3.18.116 brings refinements to device management and user experience for your smart home ecosystem. We analyze the update. Beyond the Version Number: What This Update Actually Means Another version number hits the app store . It's easy to scroll past it, thinking it's just another routine patch. But sometimes, even minor increments like moving from 3.18.115 to 3.18.116 can signal important shifts under the hood. For users invested in the TP-Link Tapo ecosystem—spanning cameras, plugs, bulbs, and sensors—this update is about stability and polish, not flashy new features. That’s a good thing. Stability First: The Unseen Improvements Let's be clear: you won't open the app to find a radically new interface or a groundbreaking feature you never knew you needed. The core improvements in version 3.18.116 are preventative and performance-oriented. Think fewer dropped connections when checking your outdoor camera feed on a weak Wi-Fi s...
Read more

Latest Android Games on Aptoide: Discover Trending & New …

Image
Discover the latest trending and newly released Android games on Aptoide, from indie gems to unique puzzle and strategy titles you won't find elsewhere. Why Your Next Favorite Game Might Not Be on Google Play Let's be honest. Scrolling through the same curated lists on the official store can feel repetitive. You see the same major publishers, the same ad-heavy clones, the same endless sequels. It's a walled garden, meticulously pruned. But what grows in the wild? Platforms like Aptoide offer a different ecosystem entirely—one where independent developers and regional hits often bloom first. This isn't about sideloading questionable software; it's about accessing a broader, more diverse gaming landscape. The latest Android games aren't always the ones with the biggest marketing budgets. A Closer Look at What's Trending Now The raw list from Aptoide reveals fascinating patterns. It's a mix of genres and ambitions, reflecting what real players ...
Read more

Microsoft Word Beta APK: What's New in Version 16.0.19929…

Image
The Microsoft Word beta APK, version 16.0.19929.20074, offers a sneak peek at upcoming features and performance tweaks for Android users. Why Beta Software Matters Most people just wait for the official update notification. They miss the point entirely. Beta versions are where the real story unfolds—a raw look at a developer's priorities and unfinished ideas. This specific build, 16.0.19929.20074 , isn't a monumental public release. It's a quiet signal of what Microsoft is tinkering with behind the scenes. Think of it as a backstage pass. What You Can Expect from This Build Official changelogs for beta releases are often sparse or non-existent. The changes are usually under-the-hood: stability improvements, bug fixes from previous test cycles, or early code for features that aren't yet active. The version number suggests it's part of an ongoing development branch for Word on mobile. You might notice slightly faster load times for complex documents. Fo...
Read more