Insights
Artikel

Supply Chain Schock - CrowdStrike-Pakete kompromittiert

Pattern

Erneut wird die OpenSource Community von einem groß angelegten Supply‑Chain‑Angriff erschüttert. Mehrere npm-Pakete von CrowdStrike wurden kompromittiert .

Über den crowdstrike-publisher Account wurden zahlreiche infizierte npm‑Pakete veröffentlicht. Darüber hinaus sind hunderte weitere kompromittierte Pakete von Drittanbieter betroffen (die derzeit bekannten sind am Ende des Artikels zusammengetragen). Wir empfehlen bei Verwendung sofort auf IOC (Indicators of Compromise) überprüfen & Secrets rotieren!

Indicators of Compromise:

  • bundle.js SHA-256: 46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09
  • Exfiltration endpoint: hxxps://webhook[.]site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7
  • de0e25a3e6c1e1e5998b306b7141b3dc4c0088da9d7bb47c1c00c91e6e4f85d6
  • 81d2a004a1bca6ef87a1caf7d0e0b355ad1764238e40ff6d1b1cb77ad4f595c3
  • 83a650ce44b2a9854802a7fb4c202877815274c129af49e6c2d1d5d5d55c501e
  • 4b2399646573bb737c4969563303d8ee2e9ddbd1b271f1ca9e35ea78062538db
  • dc67467a39b70d1cd4c1f7f7a459b35058163592f4a9e8fb4dffcbba98ef210c
  • 46faab8ab153fae6e80e7cca38eab363075bb524edd79e42269217a083628f09
  • b74caeaa75e077c99f7d44f46daaf9796a3be43ecf24f2a1fd381844669da777

 

 

Betroffene Crowdstrike Pakete:

Paket Betroffene Versionen Anmerkung
@crowdstrike/commitlint 8.1.1, 8.1.2 Richtlinienprüfung für Commits
@crowdstrike/falcon-shoelace 0.4.2 UI-Komponente
@crowdstrike/foundry-js 0.19.2 CrowdStrike SDK
@crowdstrike/glide-core 0.34.2, 0.34.3 Kernmodul
@crowdstrike/logscale-dashboard 1.205.2 Logging-Dashboard
@crowdstrike/logscale-file-editor 1.205.2 Datei-Editor
@crowdstrike/logscale-parser-edit 1.205.1, 1.205.2 Parser-Modul
@crowdstrike/logscale-search 1.205.2 Suchmodul
@crowdstrike/tailwind-toucan-base 5.0.2 CSS-Basis
@eslint-config-crowdstrike-node 4.0.3
@eslint-config-crowdstrike-node 4.0.4
@eslint-config-crowdstrike 11.0.2
@eslint-config-crowdstrike 11.0.3
@remark-preset-lint-crowdstrike 4.0.1
@remark-preset-lint-crowdstrike 4.0.2

Die Kampagne, die von den Forschern auf Grund des YAML-Workflow Namens „Shai‑Hulud“ genannt wird, ist eine Fortsetzung der Attacken, die bereits das weitverbreitete tinycolor-Paket betrafen.

 

Wie der Angriff genau funktioniert:

  • Schadfunktion einschleusen: In die kompromittierten Pakete wurde ein manipuliertes bundle.js eingebunden.
  • Secret‑Scanner: Sobald das Skript ausgeführt wird, lädt es TruffleHog herunter – ein legitimes Open‑Source‑Tool, das eigentlich dazu dient, versehentlich veröffentlichte Secrets zu finden & von uns auch bei Pentests eingesetzt wird.
  • Trufflehog: Das Tool durchsucht die infizierten Instanzen nach API‑Tokens, GitHub‑Zugriffstoken, npm‑Tokens, Cloud‑Credentials (z. B. AWS‑Schlüssel) sowie viele     weitere und validiert diese.
  • Persistenz via GitHub Actions: Anschließend wird eine nicht autorisierte GitHub‑Actions‑Workflow‑Datei (shai-hulud-workflow.yml) in das Ziel-Repository geschrieben; diese bleibt bestehen, selbst wenn das kompromittierte Paket entfernt wird. Beim nächsten Lauf der Pipeline kann der Workflow erneut ausgeführt und Daten exfiltriert werden!
  • Exfiltration: Alle gesammelten Informationen werden an einen fest codierten Webhook des Angreifers übermittelt.

Auswirkungen und Empfehlungen:

CrowdStrike betont, dass die kompromittierten npm‑Pakete nicht Teil der Falcon‑Sensor Plattform sind und Kunden des Produkts nicht betroffen sind. Das Unternehmen entfernte die Pakete zügig aus dem öffentlichen Registry und rotierte seine Schlüssel.

Für alle Organisationen gilt dennoch:

  • Umgehende Prüfung der CI/CD‑Pipelines und Entwickler‑Laptops:  Installierte npm‑Pakete sollten auf Anzeichen der kompromittierten Versionen kontrolliert werden.
  • Rotation aller npm‑Tokens und anderen Secrets: Liegen unautorisierte Zugriffstoken vor, müssen diese sofort erneuert werden.
  • Log‑Monitoring: Verdächtige npm publish‑Ereignisse oder unerwartete Änderungen in GitHub‑Workflows sind ein Indikator für Persistenzversuche.

 

Warum proaktiver Schutz entscheidend ist

Einige dieser Pakete gehören zum beliebten Framework NativeScript oder zu Entwicklungs‑SDKs von Start‑ups. Diese lange Liste & die erneute Benennung des YAML-Workflows als „shai‑hulud“ zeigt, dass diese Kampagne weit über CrowdStrike hinausgeht & sich Lieferketten‑Angriffe mit bewusster Markenbildung professionalisieren.

Angreifer verwenden Security Tools wie TruffleHog& tarnen ihre Operationen in gängigen DevOps Workflows.

Warten, bis ein Registry‑Betreiber kompromittierte Pakete entfernt, reicht nicht mehr aus.

 

Blacklens bietet hier einen mehrschichtigen Ansatz:

·       Frühwarnsystem bei neuen Bedrohungen: Sie erfahren sofort von kritischen Vorfällen wie dem NPM-Supply-Chain-Angriff und können umgehend Gegenmaßnahmen einleiten, noch bevor das breite Publik werden Schaden anrichtet.

·       Transparenz über Ihre Angriffsfläche: Durch kontinuierliches Attack Surface Management wissen Sie genau, welche Assets und Drittkomponenten Sie extern im Einsatz haben. Das ermöglicht eine schnelle Einschätzung, ob Ihr Unternehmen vom Ausfall oder Kompromittierung einer bestimmten Library betroffen ist.

·       Effizientes Incident Response: Sollte dennoch ein Vorfall eintreten, liefert blacklens.io kontextreiche Informationen (z. B. betroffene Assets, Indicators of Compromise) auf einen Blick. Das spart wertvolle Zeit bei der Ursachenanalyse und Eindämmung.

·       Vertrauensbildung und Compliance: Indem Sie zeigen, dass Sie Ihre Lieferkettenrisiken im Griff haben, stärken Sie das Vertrauen von Kunden und Partnern. Viele Branchenstandards und Regulatoren fordern heute ein Supply-Chain Risk Management – blacklens.io unterstützt Sie dabei mit den nötigen Nachweisen und Reports.

 

Fazit

Die fortgesetzten Angriffe auf die npm‑Lieferkette unterstreichen die Dringlichkeit proaktiver Sicherheitsmaßnahmen. Die kompromittierten CrowdStrike‑Pakete sind nur die Spitze des Eisbergs; die Shai‑Hulud‑Kampagne hat bereits hunderte weitere Pakete infiziert und nutzt DevOps‑Automatisierung, um sich zu verbreiten.

Unternehmen sollten ihre Software‑Lieferketten jetzt überprüfen, regelmäßig Secrets rotieren und Mechanismen etablieren, die verdächtige Aktivitäten frühzeitig erkennen. Mit Blacklens können Organisationen ihre digitale Resilienz stärken und solchen Supply‑Chain‑Angriffen zuvor­kommen, bevor sie aktiv betroffen sind!

Kompromitierte Pakete & Versionen

Die folgenden npm Pakete und Versionen wurden als betroffen bestätigt:

1. @ahmedhfarag/[email protected]

2. @ahmedhfarag/[email protected]

3. @art-ws/[email protected]

4. @art-ws/[email protected]

5. @art-ws/[email protected]

6. @art-ws/[email protected]

7. @art-ws/[email protected]

8. @art-ws/[email protected]

9. @art-ws/[email protected]

10. @art-ws/[email protected]

11. @art-ws/[email protected]

12. @art-ws/[email protected]

13. @art-ws/[email protected]

14. @art-ws/[email protected]

15. @art-ws/[email protected]

16. @art-ws/[email protected]

17. @art-ws/[email protected]

18. @art-ws/[email protected]

19. @art-ws/[email protected]

20. @art-ws/[email protected]

21. @art-ws/[email protected]

22. @art-ws/[email protected]

23. @art-ws/[email protected]

24. @art-ws/[email protected]

25. @art-ws/[email protected]

26. @art-ws/[email protected]

27. @art-ws/[email protected]

28. @art-ws/[email protected]

29. @art-ws/[email protected]

30. @crowdstrike/[email protected]

31. @crowdstrike/[email protected]

32. @crowdstrike/[email protected]

33. @crowdstrike/[email protected]

34. @crowdstrike/[email protected]

35. @crowdstrike/[email protected]

36. @crowdstrike/[email protected]

37. @crowdstrike/[email protected]

38. @crowdstrike/[email protected]

39. @crowdstrike/[email protected]

40. @crowdstrike/[email protected]

41. @crowdstrike/[email protected]

42. @crowdstrike/[email protected]

43. @crowdstrike/[email protected]

44. @crowdstrike/[email protected]

45. @crowdstrike/[email protected]

46. @crowdstrike/[email protected]

47. @crowdstrike/[email protected]

48. @ctrl/[email protected]

49. @ctrl/[email protected]

50. @ctrl/[email protected]

51. @ctrl/[email protected]

52. @ctrl/[email protected]

53. @ctrl/[email protected]

54. @ctrl/[email protected]

55. @ctrl/[email protected]

56. @ctrl/[email protected]

57. @ctrl/[email protected]

58. @ctrl/[email protected]

59. @ctrl/[email protected]

60. @ctrl/[email protected]

61. @ctrl/[email protected]

62. @ctrl/[email protected]

63. @ctrl/[email protected]

64. @ctrl/[email protected]

65. @ctrl/[email protected]

66. @ctrl/[email protected]

67. @ctrl/[email protected]

68. @ctrl/[email protected]

69. @ctrl/[email protected]

70. @ctrl/[email protected]

71. @ctrl/[email protected]

72. @ctrl/[email protected]

73. @ctrl/[email protected]

74. @ctrl/[email protected]

75. @hestjs/[email protected]

76. @hestjs/[email protected]

77. @hestjs/[email protected]

78. @hestjs/[email protected]

79. @hestjs/[email protected]

80. @hestjs/[email protected]

81. @hestjs/[email protected]

82. @nativescript-community/[email protected]

83. @nativescript-community/[email protected]

84. @nativescript-community/[email protected]

85. @nativescript-community/[email protected]

86. @nativescript-community/[email protected]

87. @nativescript-community/[email protected]

88. @nativescript-community/[email protected]

89. @nativescript-community/[email protected]

90. @nativescript-community/[email protected]

91. @nativescript-community/[email protected]

92. @nativescript-community/[email protected]

93. @nativescript-community/[email protected]

94. @nativescript-community/[email protected]

95. @nativescript-community/[email protected]

96. @nativescript-community/[email protected]

97. @nativescript-community/[email protected]

98. @nativescript-community/[email protected]

99. @nativescript-community/[email protected]

100. @nativescript-community/[email protected]

101. @nativescript-community/[email protected]

102. @nativescript-community/[email protected]

103. @nativescript-community/[email protected]

104. @nativescript-community/[email protected]

105. @nativescript-community/[email protected]

106. @nativescript-community/[email protected]

107. @nativescript-community/[email protected]

108. @nativescript-community/[email protected]

109. @nativescript-community/[email protected]

110. @nativescript-community/[email protected]

111. @nativescript-community/[email protected]

112. @nativescript-community/[email protected]

113. @nativescript-community/[email protected]

114. @nativescript-community/[email protected]

115. @nativescript-community/[email protected]

116. @nativescript-community/[email protected]

117. @nativescript-community/[email protected]

118. @nativescript-community/[email protected]

119. @nativescript-community/[email protected]

120. @nativescript-community/[email protected]

121. @nativescript-community/[email protected]

122. @nativescript-community/[email protected]

123. @nativescript-community/[email protected]

124. @nativescript-community/[email protected]

125. @nativescript-community/[email protected]

126. @nativescript-community/[email protected]

127. @nativescript-community/[email protected]

128. @nativescript-community/[email protected]

129. @nativescript-community/[email protected]

130. @nativescript-community/[email protected]

131. @nativescript-community/[email protected]

132. @nativescript-community/[email protected]

133. @nativescript-community/[email protected]

134. @nativescript-community/[email protected]

135. @nativescript-community/[email protected]

136. @nativescript-community/[email protected]

137. @nativescript-community/[email protected]

138. @nativescript-community/[email protected]

139. @nativescript-community/[email protected]

140. @nativescript-community/[email protected]

141. @nativescript-community/[email protected]

142. @nexe/[email protected]

143. @nexe/[email protected]

144. @nexe/[email protected]

145. @nstudio/[email protected]

146. @nstudio/[email protected]

147. @nstudio/[email protected]

148. @nstudio/[email protected]

149. @nstudio/[email protected]

150. @nstudio/[email protected]

151. @nstudio/[email protected]

152. @nstudio/[email protected]

153. @nstudio/[email protected]

154. @nstudio/[email protected]

155. @nstudio/[email protected]

156. @nstudio/[email protected]

157. @nstudio/[email protected]

158. @nstudio/[email protected]

159. @nstudio/[email protected]

160. @nstudio/[email protected]

161. @nstudio/[email protected]

162. @nstudio/[email protected]

163. @nstudio/[email protected]

164. @nstudio/[email protected]

165. @nstudio/[email protected]

166. @nstudio/[email protected]

167. @nstudio/[email protected]

168. @nstudio/[email protected]

169. @nstudio/[email protected]

170. @nstudio/[email protected]

171. @operato/[email protected]

172. @operato/[email protected]

173. @operato/[email protected]

174. @operato/[email protected]

175. @operato/[email protected]

176. @operato/[email protected]

177. @operato/[email protected]

178. @operato/[email protected]

179. @operato/[email protected]

180. @operato/[email protected]

181. @operato/[email protected]

182. @operato/[email protected]

183. @operato/[email protected]

184. @operato/[email protected]

185. @operato/[email protected]

186. @operato/[email protected]

187. @operato/[email protected]

188. @operato/[email protected]

189. @operato/[email protected]

190. @operato/[email protected]

191. @operato/[email protected]

192. @operato/[email protected]

193. @operato/[email protected]

194. @operato/[email protected]

195. @operato/[email protected]

196. @operato/[email protected]

197. @operato/[email protected]

198. @operato/[email protected]

199. @operato/[email protected]

200. @operato/[email protected]

201. @operato/[email protected]

202. @operato/[email protected]

203. @operato/[email protected]

204. @operato/[email protected]

205. @operato/[email protected]

206. @operato/[email protected]

207. @operato/[email protected]

208. @operato/[email protected]

209. @operato/[email protected]

210. @operato/[email protected]

211. @operato/[email protected]

212. @operato/[email protected]

213. @operato/[email protected]

214. @operato/[email protected]

215. @operato/[email protected]

216. @operato/[email protected]

217. @operato/[email protected]

218. @operato/[email protected]

219. @operato/[email protected]

220. @operato/[email protected]

221. @operato/[email protected]

222. @operato/[email protected]

223. @operato/[email protected]

224. @operato/[email protected]

225. @operato/[email protected]

226. @operato/[email protected]

227. @operato/[email protected]

228. @operato/[email protected]

229. @operato/[email protected]

230. @operato/[email protected]

231. @operato/[email protected]

232. @operato/[email protected]

233. @operato/[email protected]

234. @operato/[email protected]

235. @operato/[email protected]

236. @operato/[email protected]

237. @operato/[email protected]

238. @operato/[email protected]

239. @operato/[email protected]

240. @operato/[email protected]

241. @operato/[email protected]

242. @operato/[email protected]

243. @operato/[email protected]

244. @operato/[email protected]

245. @operato/[email protected]

246. @operato/[email protected]

247. @operato/[email protected]

248. @operato/[email protected]

249. @operato/[email protected]

250. @operato/[email protected]

251. @operato/[email protected]

252. @operato/[email protected]

253. @operato/[email protected]

254. @operato/[email protected]

255. @operato/[email protected]

256. @operato/[email protected]

257. @operato/[email protected]

258. @operato/[email protected]

259. @operato/[email protected]

260. @operato/[email protected]

261. @operato/[email protected]

262. @operato/[email protected]

263. @operato/[email protected]

264. @operato/[email protected]

265. @operato/[email protected]

266. @operato/[email protected]

267. @operato/[email protected]

268. @operato/[email protected]

269. @operato/[email protected]

270. @operato/[email protected]

271. @operato/[email protected]

272. @operato/[email protected]

273. @operato/[email protected]

274. @operato/[email protected]

275. @operato/[email protected]

276. @operato/[email protected]

277. @operato/[email protected]

278. @operato/[email protected]

279. @operato/[email protected]

280. @operato/[email protected]

281. @teselagen/[email protected]

282. @teselagen/[email protected]

283. @teselagen/[email protected]

284. @teselagen/[email protected]

285. @teselagen/[email protected]

286. @teselagen/[email protected]

287. @teselagen/[email protected]

288. @teselagen/[email protected]

289. @teselagen/[email protected]

290. @teselagen/[email protected]

291. @teselagen/[email protected]

292. @teselagen/[email protected]

293. @teselagen/[email protected]

294. @teselagen/[email protected]

295. @teselagen/[email protected]

296. @thangved/[email protected]

297. @things-factory/[email protected]

298. @things-factory/[email protected]

299. @things-factory/[email protected]

300. @things-factory/[email protected]

301. @things-factory/[email protected]

302. @things-factory/[email protected]

303. @things-factory/[email protected]

304. @things-factory/[email protected]

305. @things-factory/[email protected]

306. @things-factory/[email protected]

307. @things-factory/[email protected]

308. @things-factory/[email protected]

309. @things-factory/[email protected]

310. @things-factory/[email protected]

311. @things-factory/[email protected]

312. @things-factory/[email protected]

313. @things-factory/[email protected]

314. @things-factory/[email protected]

315. @things-factory/[email protected]

316. @things-factory/[email protected]

317. @things-factory/[email protected]

318. @things-factory/[email protected]

319. @things-factory/[email protected]

320. @things-factory/[email protected]

321. @things-factory/[email protected]

322. @things-factory/[email protected]

323. @things-factory/[email protected]

324. @things-factory/[email protected]

325. @things-factory/[email protected]

326. @things-factory/[email protected]

327. @things-factory/[email protected]

328. @things-factory/[email protected]

329. @things-factory/[email protected]

330. @things-factory/[email protected]

331. @things-factory/[email protected]

332. @things-factory/[email protected]

333. @things-factory/[email protected]

334. @tnf-dev/[email protected]

335. @tnf-dev/[email protected]

336. @tnf-dev/[email protected]

337. @tnf-dev/[email protected]

338. @tnf-dev/[email protected]

339. @ui-ux-gang/[email protected]

340. @yoobic/[email protected]

341. @yoobic/[email protected]

342. @yoobic/[email protected]

343. [email protected]

344. [email protected]

345. [email protected]

346. [email protected]

347. [email protected]

348. [email protected]

349. [email protected]

350. [email protected]

351. [email protected]

352. [email protected]

353. [email protected]

354. [email protected]

355. [email protected]

356. [email protected]

357. [email protected]

358. [email protected]

359. [email protected]

360. [email protected]

361. [email protected]

362. [email protected]

363. [email protected]

364. [email protected]

365. [email protected]

366. [email protected]

367. [email protected]

368. [email protected]

369. [email protected]

370. [email protected]

371. [email protected]

372. [email protected]

373. [email protected]

374. [email protected]

375. [email protected]

376. [email protected]

377. [email protected]

378. [email protected]

379. [email protected]

380. [email protected]

381. [email protected]

382. [email protected]

383. [email protected]

384. [email protected]

385. [email protected]

386. [email protected]

387. [email protected]

388. [email protected]

389. [email protected]

390. [email protected]

391. [email protected]

392. [email protected]

393. [email protected]

394. [email protected]

395. [email protected]

396. [email protected]

397. [email protected]

398. [email protected]

399. [email protected]

400. [email protected]

401. [email protected]

402. [email protected]

403. [email protected]

404. [email protected]

405. [email protected]

406. [email protected]

407. [email protected]

408. [email protected]

409. [email protected]

410. [email protected]

411. [email protected]

412. [email protected]

413. [email protected]

414. [email protected]

415. [email protected]

416. [email protected]

417. [email protected]

418. [email protected]

419. [email protected]

420. [email protected]

421. [email protected]

422. [email protected]

423. [email protected]

424. [email protected]

425. [email protected]

426. [email protected]

427. [email protected]

428. [email protected]

429. [email protected]

430. [email protected]

431. [email protected]

432. [email protected]

433. [email protected]

434. [email protected]

435. [email protected]

436. [email protected]

437. [email protected]

438. [email protected]

439. [email protected]

440. [email protected]

441. [email protected]

442. [email protected]

443. [email protected]

444. [email protected]

445. [email protected]

446. [email protected]

447. [email protected]

448. [email protected]

449. [email protected]

450. [email protected]

451. [email protected]

452. [email protected]

453. [email protected]

454. [email protected]

455. [email protected]

456. [email protected]

457. [email protected]

458. [email protected]

459. [email protected]

460. [email protected]

461. [email protected]

462. [email protected]

463. [email protected]

464. [email protected]

465. [email protected]

466. [email protected]

467. [email protected]

468. [email protected]

469. [email protected]

470. [email protected]

471. [email protected]

472. [email protected]

473. [email protected]

474. [email protected]

475. [email protected]

476. [email protected]

477. [email protected]

Insights

Lesen Sie unsere neuesten Nachrichten, Forschungsergebnisse und Expertenratschläge zum Thema Cybersicherheit

Artikel

Supply Chain Schock - CrowdStrike-Pakete kompromittiert

Der Angriff nutzt ein bösartiges `bundle.js`‑Script,welches beim Ausführen sensible Informationen abgreift und folgend persistente GithubActions in Repositorys anlegt um sensible Daten zu exfiltrieren.
Artikel

Einheitliches Cloud-Schwachstellen-Scanning: NIS2-Compliance und Cloud-Sicherheit mit blacklens.io

Einheitliches Cloud-Scanning mit blacklens.io: Über 500 CIS-konforme Checks für mehr Sicherheit, Transparenz und NIS2-Compliance.
Guides

blacklens.io Sentry – Warum internes Schwachstellen-Scanning Ihre gesamte IT-Infrastruktur umfassen muss

blacklens.io Sentry scannt nicht nur Server, sondern auch IoT- und Netzwerkgeräte – für ganzheitliches Schwachstellenmanagement ohne blinde Flecken.
Artikel

Revolutionäres Darknet Monitoring mit blacklens.io: Neue Features für umfassende Sicherheit

blacklens.io erkennt gestohlene Cookies, analysiert Identitätsrisiken per KI und klassifiziert Leaks – für sicheres Darknet Monitoring in Echtzeit.
Alle anzeigen

Bereit Ihre Sicherheit auf das nächste Level zu heben?

Erleben Sie proaktive Cybersicherheit mit der 30-tägigen kostenlosen Testversion von blacklens.io.

Jetzt TestenPartner werden

Cookie Einstellungen

Wir verwenden Cookies und ähnliche Technologien, um Inhalte zu personalisieren, Werbung anzupassen und zu messen und ein besseres Erlebnis zu bieten.

AkzeptierenAnpassen