TeamPCP: Mega-Hack auf über 400 NPM und PyPI Pakete!

Ein neuer Tag, ein neuer Supply-Chain-Angriff. Diesmal ist es TeamPCP. Die Hackergruppe hat über 400 NPM und PyPI Pakete kompromittiert. Ihr Ziel? Klar: sensible Entwicklerinformationen abgreifen. Wir reden von Credentials, Zugangstokens, allem Drum und Dran.

Der Angriff entfaltet sich

Sicherheitsforscher bei Socket nennen diesen Angriff 'Mini-Shai-Hulud'. Er begann klein und traf NPM-Pakete, die mit SAP verbunden sind. Aber jetzt ist er gewachsen. Und zwar stark. Socket hat 84 weitere kompromittierte Pakete entdeckt. Diese sind mit dem Tanstack Open-Source-App-Framework verbunden. Insgesamt sind es jetzt über 400.

Das Ganze ist Teil von TeamPCPs laufender Kampagne. Login-Credentials sammeln. Und dann? Weitere Softwareprojekte infiltrieren.

Beliebte Tanstack-Projekte sind betroffen: @tanstack/react-router und @tanstack/history. Beide haben über 11 Millionen wöchentliche Downloads. NPM-Pakete sind nicht die einzigen Opfer. Auch einige PyPI-Pakete sind betroffen. Denkt an Mistral AI, Guardrails AI.

Daten in Gefahr

Was wollen sie? Der von TeamPCP eingebrachte Schadcode ist darauf ausgelegt, alle möglichen sensiblen Daten zu erfassen:

• GitHub- und NPM-Tokens
• AWS-Zugänge und Metadaten
• Kubernetes-Service-Account-Tokens
• Umgebungsvariablen und andere vertrauliche Informationen aus CI/CD-Pipelines

Das Ganze dreht sich um eine stark verschleierte Datei: router_init.js. Sie ist etwa 2,3 MB groß. Das ist die Datenextraktionsmaschine.

Reaktion der Entwickler

Bist du Entwickler und nutzt NPM oder PyPI Pakete? Dann solltest du schnell handeln. Prüfe dein System auf kompromittierte Versionen. Eine gefunden? Dann gilt dein System als kompromittiert. Rotiere betroffene Credentials. Sofort. Schau auch deine Code-Repositories an. Irgendwelche ungewöhnlichen Änderungen? Alarmstufe Rot.

Mehr Infos, was zu tun ist? Socket und Aikido haben detaillierte Strategien und Indikatoren zur Schadensbegrenzung in ihren Blogbeiträgen. Die Tanstack-Entwickler? Sie haben einen Bericht veröffentlicht, der die Auswirkungen des Angriffs auf ihre Pakete erklärt.

Hintergrund: Supply-Chain-Angriffe

Supply-Chain-Angriffe sind ein wachsendes Problem in der Softwarewelt. Warum? Sie nutzen Vertrauen aus. Dieses Vertrauen in weit verbreitete Pakete, um Malware zu verbreiten. TeamPCP, nebenbei bemerkt, ist beschäftigt. Sie werden mit mehreren dieser Angriffe in letzter Zeit in Verbindung gebracht. Das schreit doch förmlich nach besserer Sicherheit in der Softwareentwicklung, oder?

Was noch unklar ist:

• Wie viele Daten hat TeamPCP tatsächlich abgegriffen?
• Gibt es noch unentdeckte kompromittierte Pakete?
• Wie sieht der langfristige Schaden für betroffene Softwareprojekte aus?

Warum das wichtig ist:

Schau, Angriffe wie dieser? Sie zeigen wirklich, wie anfällig das Open-Source-Ökosystem ist. Millionen von Downloads, die wöchentlich betroffen sind. Denk an die Wellen, die das schlagen kann. Entwickler, Unternehmen. Das könnte riesig werden. Es ist eine ziemlich deutliche Erinnerung. Wir brauchen robuste Sicherheitspraktiken. Überall. Softwareentwicklung. Paketmanagement. Alles.