Böswilliges npm-Paket verwandelt Hugging Face in Malware-CDN und Exfiltrations-Backend
Ein bösartiges npm-Paket namens js-logger-packhas wurde dabei erwischt, wie Hugging Face, eine weit vertrauenswürdige Plattform zur Speicherung , sowohl in ein Malware-Verbreitungsnetzwerk als auch in
Kurzfassung
Warum das wichtig ist
- Ein bösartiges npm-Paket namens js-logger-packhas wurde dabei erwischt, wie Hugging Face, eine weit vertrauenswürdige Plattform zur Speicherung , sowohl in ein Malware-Verbreitungsnetzwerk als auch
- Die Kampagne markiert einen klaren Wandel darin, wie Angreifer legitime Cloud-Dienste missbrauchen, um Lieferkettenangriffe durchzuführen und dabei unsichtbar zu bleiben.
- Als Entwickler es installierten, lud ein plausibler, aber harmloser Logger in ihr Projekt, der die eigentliche Bedrohung verbarg.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Ein bösartiges npm-Paket namens js-logger-packhas wurde dabei erwischt, wie Hugging Face, eine weit vertrauenswürdige Plattform zur Speicherung , sowohl in ein Malware-Verbreitungsnetzwerk als auch
Warum relevant
Die Kampagne markiert einen klaren Wandel darin, wie Angreifer legitime Cloud-Dienste missbrauchen, um Lieferkettenangriffe durchzuführen und dabei unsichtbar zu bleiben.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Ein bösartiges npm-Paket namens js-logger-packhas wurde dabei erwischt, wie es Hugging Face, eine weit vertrauenswürdige Plattform zur Speicherung, sowohl in ein Malware-Verbreitungsnetzwerk als auch in e Ein bösartiges npm-Paket namens js-logger-packhas wurde dabei erwischt, wie es Hugging Face, eine weit vertrauenswürdige Plattform zur Speicherung, sowohl in ein Malware-Verbreitungsnetzwerk als auch in einen Backend für gestohlene Daten umwandelte.
Die Kampagne markiert einen klaren Wandel darin, wie Angreifer legitime Cloud-Dienste missbrauchen, um Lieferkettenangriffe durchzuführen und dabei unsichtbar zu bleiben. Das Paket erschien zunächst harmlos.
Als Entwickler es installierten, lud ein plausibler, aber harmloser Logger in ihr Projekt, der die eigentliche Bedrohung verbarg. Der tatsächliche Angriff begann über ein `postinstall`-Skript, das automatisch während der Installation lief.
.webp&ref=https%3A%2F%2Fcybersecuritynews.com%2Fmalicious-npm-package-turns-hugging-face%2F&sig=az_uUqygWOQP8WJIaC6NASMd-HkIOCZoIlx4Uzmg6T8)
Dieses Skript startete einen losgelösten Hintergrundprozess, sodass der sichtbare `npm install`-Befehl normal abgeschlossen wurde, während ein versteckter Downloader weiterlief.
Basierend auf dem Host-Betriebssystem holte es einen der vier bösartigen Binärdateien aus einem öffentlichen Hugging Face Repository, das vom Angreifer kontrolliert wird und als Lordplay/system-releases identifiziert wurde.
JFrog Security-Forscher identifizierten und extrahierten die eingebettete JavaScript-Payload aus allen vier Node.js Single Executable Application (SEA)-Binärdateien für Windows, macOS und Linux.
Quelllink
Originalquelle: Cyber Security News
Thema weiterverfolgen
Interne Verlinkung
Im Kontext weiterlesen
Diese weiterfuehrenden Links verbinden das Thema mit relevanten Archivseiten, Schlagwoertern und inhaltlich nahen Artikeln.
Technologie Archiv
Weitere Meldungen aus derselben Hauptkategorie.
Mehr von Cyber Security News
Alle veroeffentlichten Inhalte derselben Quelle im Archiv.
US entwickelt Rauschmodellierung zur Optimierung von Quantenprozessoren
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Radeon RX 9070 XT sinkt auf Amazon für 649 Dollar – während die Grafikkarte sonst zwischen 700 und 800 Dollar kostet
Redaktionell verwandter Beitrag aus dem selben Themenumfeld.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Originaltitel
- Malicious npm Package Turns Hugging Face Into Malware CDN and Exfiltration Backend
- Canonical
- https://cybersecuritynews.com/malicious-npm-package-turns-hugging-face/
- Quell-URL
- https://cybersecuritynews.com/malicious-npm-package-turns-hugging-face/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
US entwickelt Rauschmodellierung zur Optimierung von Quantenprozessoren
Forscher des Johns Hopkins Applied Physics Laboratory (APL) haben sich mit ihren Kollegen der Johns Hopkins University zusammengeschlossen, um ein umfassendes Rahmenwerk zur Modellierung
10.06.2026
Live Redaktion
Radeon RX 9070 XT sinkt auf Amazon für 649 Dollar – während die Grafikkarte sonst zwischen 700 und 800 Dollar kostet
Sie werden die GPU kaum für einen Preis unter 650 US-Dollar finden, doch diese Modelle kosten Sie weder ein Bein noch einen Arm.
10.06.2026
Live Redaktion
Microsoft Entra Agent-IDs decken verdächtige Aktivitäten assistiver Agenten auf
KI-Agenten, die Unternehmensplattformen integriert sind, sind längst mehr als reine Produktivitätsinstrumente.
10.06.2026
Live Redaktion
FromSoftware kehrt mit The Duskbloods zurück: Neuer Trailer und Closed Beta im Sommer 2026
Seit der Ankündigung des Spiels The Duskbloods Switch 2-Event im vergangenen Jahr war das Projekt nicht mehr Sicht.
10.06.2026
Live Redaktion