Auf den Punkt: Hijacker nutzen VS Code Tasks statt npm-Lifecycle-Scripts, um einen Python-Infostealer zu deployen und damit npm v12 Security-Hardening zu umgehen.
Zwei kompromittierte npm-Pakete und mehrere Go-Pakete transportieren einen Python-basierten Infostealer auf Windows-, Linux- und macOS-Systemen. Die Angreifer umgehen dabei konventionelle npm-Lifecycle-Scripts und nutzen VS Code Tasks als Ausführungsmechanismus.
Sicherheitsforscher haben zwei gekaperterte npm-Pakete sowie eine Gruppe von Go-Paketen identifiziert, die gezielt einen Python-gestützten Information Stealer auf kompromittierten Windows-, Linux- und macOS-Systemen installieren. Der Ansatz weicht von etablierten Angriffsmustern ab.
Nach Angaben von JFrog vermeiden die Angreifer bewusst die gängigen npm-Ausführungspfade über Lifecycle-Scripts. Dieses Vorgehen könnte einer gezielten Strategie entsprechen, um mit den Security-Härtungsmaßnahmen von npm v12 kompatibel zu bleiben und damit Erkennungsmechanismen zu umgehen.
Statt dessen nutzen die Angreifer Visual Studio Code Tasks als Absprungplattform. Diese Methode exploitiert die automatische Ausführung von Konfigurationsdateien und ermöglicht es, Malware-Payloads zu laden, ohne klassische Package-Manager-Hooks zu aktivieren. Der Infostealer erfasst nach erfolgreicher Installation sensible Daten wie Anmeldedaten und andere persönliche Informationen.
CISOs sollten Supply-Chain-Risiken in ihren Abhängigkeitsmanagement-Prozessen kritisch überprüfen. Besondere Aufmerksamkeit gilt der Überwachung ungewöhnlicher Konfigurationsdateien in Projekt-Verzeichnissen sowie der Einschränkung von Ausführungsprivilegien für Entwickler-Tools wie VS Code in produktiven oder sensiblen Umgebungen.
Quelle: thehackernews.com · Erschienen 29. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.