Snyk-Sicherheitsforscher veröffentlicht bösartige NPM-Pakete, die auf cursor.com abzielen

 (sourcecodered.com)
1 Punkte von GN⁺ 2025-01-14 | Noch keine Kommentare. | Auf WhatsApp teilen

  • Veröffentlichung bösartiger NPM-Pakete durch einen Snyk-Sicherheitsforscher

    • Jeden Morgen prüft der Autor bösartige Pakete, die in der Nacht zuvor entdeckt wurden. Das ist ein wenig so, als würde ein Fischer die Fische im Netz kontrollieren.
    • Kürzlich entdeckte ein Nutzer von Snyk, dass mehrere auf Cursor.com abzielende Pakete bei NPM veröffentlicht wurden.
    • Diese Pakete tragen Namen wie "cursor-retreival", "cursor-always-local" und "cursor-shadow-workspace".
    • Bei der Installation sammeln diese Pakete Systemdaten und senden sie an einen vom Angreifer kontrollierten Webdienst.

  • Funktionsweise der Pakete

    • Die Pakete sammeln die Ausgabe des Befehls env und legen damit sensible Informationen wie AWS-Schlüssel, NPM-Tokens und GitHub-Zugangsdaten offen.
    • Die gesammelten Daten werden an eine Website übertragen, die dem Angreifer gehört.

  • Beabsichtigter Angriff

    • Diese Pakete scheinen einen Dependency-Confusion-Angriff gegen ein bestimmtes Unternehmen zu versuchen.
    • Ob Cursor.com ein Bug-Bounty-Programm betreibt, ist unklar, aber es wird vermutet, dass Mitarbeitende von Cursor dazu verleitet werden sollten, diese öffentlichen Pakete versehentlich zu installieren.

  • Identifizierung der bösartigen Pakete

    • Der OpenSSF Package Analysis Scanner identifizierte diese Pakete als bösartig.
    • OSV erstellte drei Malware-Hinweise mit den Bezeichnungen MAL-2025-27, MAL-2025-28 und MAL-2025-29.

  • Veröffentlicher der Pakete

    • Laut den NPM-Paketmetadaten wurden die Pakete von einem Nutzer veröffentlicht, der eine snyk.io-E-Mail-Adresse des Snyk Security Labs Teams verwendet.
    • Im Autorenfeld der Metadaten wird ein Snyk-Mitarbeiter genannt; das könnte zwar gefälscht sein, der Veröffentlicher nutzte jedoch eine verifizierte Snyk-E-Mail-Adresse.

  • Empfohlene Reaktion

    • NPM wurde gewarnt, hat die Pakete aber noch nicht als bösartig markiert, und die meisten Sicherheitswerkzeuge für die Software-Lieferkette können erst schützen, wenn bekannt ist, dass ein Paket bösartig ist.
    • Es ist ratsam, NPM-Pakete nicht unkritisch zu installieren, und wichtig, auf Signale zu achten, mit denen sich die Legitimität eines Pakets beurteilen lässt.
    • Alle Pakete enthalten nur zwei Dateien: package.json und index.js (oder main.js). Das ist eines von mehreren Signalen, mit denen sich die Legitimität eines Pakets einschätzen lässt.
    • Es wird erwartet, dass NPM solche Pakete bald entfernt.

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.