Beliebte Tags:
Kosmos Virtualisierung DNS-Sicherheit formale Verifikation Erreichbarkeitsanalyse KI Compilerfehler Makrokonflikt Web-Erweiterung Entwicklungsframework Alle Tags

Massenhafter npm-Angriff auf die Lieferkette: 2 Milliarden wöchentliche Downloads kompromittiert

2025-09-09
Massenhafter npm-Angriff auf die Lieferkette: 2 Milliarden wöchentliche Downloads kompromittiert

Am 8. September entdeckten Sicherheitsforscher einen massiven Angriff auf die Lieferkette, der 18 beliebte npm-Pakete betraf und mehr als 2 Milliarden wöchentliche Downloads umfasste. Die Schadsoftware fängt Krypto- und Web3-Aktivitäten in Browsern heimlich ab, manipuliert Wallet-Interaktionen und leitet Gelder an angreifergesteuerte Konten um. Der Angreifer kompromittierte das Konto des Betreuers über Phishing-E-Mails und aktualisierte die Pakete heimlich. Obwohl einige betroffene Pakete bereinigt wurden, ist Vorsicht geboten. Verwenden Sie sichere npm-Paketmanagementmethoden.

Mehr lesen
(www.aikido.dev)
Entwicklung

Lieferkettenangriff zielt auf XRP Ledger SDK ab: Hintertür stiehlt private Schlüssel

2025-04-22
Lieferkettenangriff zielt auf XRP Ledger SDK ab: Hintertür stiehlt private Schlüssel

Am 21. April detektierte das Aikido Intel-System fünf neue Versionen des offiziellen XRP Ledger SDK (Paket xrpl) mit bösartigem Code. Angreifer fügten eine Hintertür in das offizielle NPM-Paket ein, um private Kryptowährungsschlüssel zu stehlen und auf Kryptowährungsbörsen zuzugreifen. Die Angreifer nutzten die weit verbreitete Verwendung des Pakets aus und führten einen potenziell katastrophalen Lieferkettenangriff durch. Der bösartige Code sendet private Schlüssel an eine neu registrierte Domain, 0x9c[.]xyz. Die Angreifer verfeinerten ihren Angriff iterativ, beginnend mit Änderungen am gepackten JavaScript-Code und fortschreitend zur Änderung des TypeScript-Quellcodes vor der Kompilierung, um ihre Aktionen zu verschleiern. Dieser Angriff unterstreicht die Anfälligkeit von Software-Lieferketten.

Mehr lesen
(www.aikido.dev)
Technologie