### Angriffsdetails Der Angriff, der in mehreren Paketen von **Namastex Labs** entdeckt wurde, nutzt Techniken zum Diebstahl von Anmeldedaten, zur Datenexfiltration und zur Selbstverbreitung. Obwohl Ähnlichkeiten mit den CanisterWorm-Angriffen von **TeamPCP** bestehen, bleibt die endgültige Zuordnung unbestätigt. **Socket** hat 16 kompromittierte **Namastex**-Pakete identifiziert, darunter: * @automagik/genie (4.260421.33-4.260421.39) * pgserve (1.1.11–1.1.13) * @fairwords/websocket (1.0.38-1.0.39) * @fairwords/loopback-connector-es (1.4.3-1.4.4) * @openwebconcept/[email protected] * @openwebconcept/[email protected] Diese Pakete, die in KI-Agenten-Tools und Datenbankoperationen verwendet werden, deuten auf einen Fokus auf hochwertige Ziele hin. Die Wurm-ähnliche Natur des Angriffs ermöglicht unter den richtigen Bedingungen eine schnelle Verbreitung. ### Datenexfiltration und Selbstverbreitung Der bösartige Code zielt darauf ab, sensible Daten zu sammeln, darunter Token, API-Schlüssel, SSH-Schlüssel, Anmeldedaten für Cloud-Dienste, CI/CD-Systeme, Registries, LLM-Plattformen und Kubernetes/Docker-Konfigurationen. Er zielt auch auf sensible Daten ab, die in **Chrome** und **Firefox** gespeichert sind, einschließlich Kryptowährungs-Wallets wie **MetaMask**, **Exodus**, **Atomic Wallet** und **Phantom**. **StepSecurity** beschreibt die Malware als einen "Supply-Chain-Wurm", der in der Lage ist, npm-Publish-Token zu identifizieren und sich selbst in andere Pakete einzuschleusen, die der kompromittierte Token veröffentlichen kann, wodurch der Einbruch weiter vorangetrieben wird. Bösartige Versionen von `pgserve` wurden erstmals am 21. April veröffentlicht. Wenn Publish-Token gefunden werden, identifiziert das Skript veröffentlichbare Pakete, injiziert den payload und veröffentlicht sie mit inkrementierten Versionsnummern neu, wodurch eine rekursive Verbreitung entsteht. Wenn **PyPI**-Anmeldedaten gefunden werden, wird eine ähnliche Methode über einen `.pth`-basierten payload auf Python-Pakete angewendet, was dies zu einer Bedrohung für mehrere Ökosysteme macht. ### Abhilfemaßnahmen Entwickler sollten alle aufgeführten Paketversionen sofort als bösartig behandeln, sie aus Systemen und CI/CD-Pipelines entfernen und alle potenziell exponierten Geheimnisse rotieren. Sowohl **Socket** als auch **StepSecurity** stellen Indicators of Compromise (IOCs) zur Verfügung, um bei der Identifizierung kompromittierter Umgebungen zu helfen. Empfohlene Maßnahmen umfassen: * Entfernen betroffener Pakete aus Entwicklungs- und CI/CD-Systemen. * Rotation aller Anmeldedaten und geheimen Daten. * Suche nach internen Paketspiegeln, Artefakten und Caches. **Socket** rät außerdem zur Überprüfung auf verwandte Pakete, die dieselbe `public.pem`-Datei, denselben Webhook-Host oder dasselbe `postinstall`-Muster teilen.