Cryptonews

Cyber-Angriff auf das Software-Ökosystem deckt Schwachstellen in über 170 Code-Repositories auf, die mit führenden Technologieunternehmen verknüpft sind

Source
CryptoNewsTrend
Published
Cyber-Angriff auf das Software-Ökosystem deckt Schwachstellen in über 170 Code-Repositories auf, die mit führenden Technologieunternehmen verknüpft sind

Am 11. Mai startete eine Gruppe namens TeamPCP einen groß angelegten Angriff auf die Software-Lieferkette, bekannt als „Mini Shai-Hulud“, der über 170 Pakete in npm- und PyPI-Repositorys kompromittiert. Zu den bemerkenswerten Zielen gehörten TanStack, Mistral AI, UiPath und Guardrails AI, die allesamt wichtige Akteure im Ökosystem der Entwicklertools sind.

Innerhalb von fünf Stunden veröffentlichten die Angreifer erfolgreich zwischen 373 und 404 infizierte Versionen von Paketen und tarnten diese geschickt als legitime Updates. Dies wurde durch die Ausnutzung von Schwachstellen in GitHub Actions-Workflows, insbesondere eines falsch konfigurierten pull_request_target-Workflows, in Verbindung mit Cache-Poisoning-Taktiken erreicht. Die Angreifer nutzten außerdem OpenID Connect-Token, um Veröffentlichungspipelines zwischen GitHub und Paketregistrierungen wie npm zu authentifizieren.

Die bösartige Nutzlast, ein hochentwickelter mehrstufiger Wurm zum Diebstahl von Anmeldeinformationen, wurde entwickelt, um Anmeldeinformationen aus Cloud-Umgebungen und Entwicklertools zu extrahieren, Passwort-Manager zu infiltrieren und sich dann über Abhängigkeitsketten zu verbreiten, um weitere Projekte zu gefährden. Dies stellt eine erhebliche Bedrohung sowohl für traditionelle Web- als auch für Web3-Umgebungen dar, da die kompromittierten Tools nicht nur weit verbreitet sind, sondern auch integraler Bestandteil der digitalen Asset-Infrastruktur sind.

Die Auswirkungen des Angriffs auf die Krypto- und Web3-Bereiche sind besonders alarmierend, da die gezielten Tools in beiden Ökosystemen häufig verwendet werden. Eine kompromittierte Entwickleranmeldeinformation kann unbefugten Zugriff auf sensible Bereiche gewähren, darunter Pipelines für die Bereitstellung intelligenter Verträge, Wallet-Infrastruktur und Exchange-Backend-Systeme. TanStack beispielsweise ist eine beliebte Sammlung von Tools zum Erstellen von Webanwendungen, während Mistral AI wichtige Entwicklertools für die KI-Integration bereitstellt und UiPath eine wichtige Automatisierungsplattform ist.

Als Reaktion auf den Angriff raten Sicherheitsexperten Teams, die möglicherweise während des Fünf-Stunden-Fensters Updates von betroffenen Paketen heruntergeladen haben, sofort Maßnahmen zu ergreifen. Dazu gehört die Bereinigung von Entwicklungsumgebungen, das Rotieren von Geheimnissen und Anmeldeinformationen sowie die Überprüfung von Abhängigkeitsbäumen auf kompromittierte Paketversionen. Insbesondere Krypto-Teams werden aufgefordert, ihre Abhängigkeitsketten mit der gleichen Sorgfalt zu behandeln wie intelligente Vertragsprüfungen, indem sie genaue Paketversionen festlegen, die Paketintegrität überprüfen und Build-Time-Scans implementieren, um ungewöhnliches Abhängigkeitsverhalten zu erkennen.