Question 1

Welche node-ipc-Versionen enthalten die Schadsoftware?

Accepted Answer

Die Versionen 9.1.6, 9.2.3 und 12.0.1 wurden von SlowMist und StepSecurity als verdächtig gemeldet. Alle drei enthielten dieselbe verschleierte Nutzlast, die beim Laden des Pakets ausgeführt wird.

Question 2

Wie gelang es dem Angreifer, das Administratorkonto zu übernehmen?

Accepted Answer

Die E-Mail-Domain des ursprünglichen Betreibers, atlantis-software.net, lief am 10. Januar 2025 ab. Ein Angreifer registrierte sie am 7. Mai 2026 über Namecheap neu und nutzte anschließend den Passwort-Reset-Prozess von npm, um Zugriff auf das Konto zu erlangen. Laut einer Analyse von StepSecurity, über die Bitcoinberichtete, bemerkte der Betreiber dies nicht.

Question 3

Was genau greift der Dieb?

Accepted Answer

Über 90 Kategorien von Geheimnissen. AWS-Tokens, Google Cloud- und Azure-dent, SSH-Schlüssel, Kubernetes-Konfigurationen, GitHub-CLI-Tokens, Shell-Verlaufsdateien und .env-Dateien, die häufig private Kryptoschlüssel und API-Geheimnisse enthalten. Bitcoinveröffentlichte die vollständige Aufschlüsselung.

StepSecurity

Angreifer kapern das npm-Maintainer-Konto und stehlen die Kryptoschlüssel

Ein prägnanter Brief.
Jeden Tag.

StepSecurity

Angreifer kapern das npm-Maintainer-Konto und stehlen die Kryptoschlüssel

Ein prägnanter Brief.Jeden Tag.

Ein prägnanter Brief.
Jeden Tag.