Hacker nutzen Hugging Face für zweistufige Malware in npm-Versorgungskettenangriff

Hacker haben eine neue und alarmierende Methode entwickelt, um eine der vertrauenswürdigsten Plattformen der KI-Welt zu weaponisieren. Ein Bedrohungsakteur, der mit Nordkorea Verbindung steht, hat zweistufige Malware Hacker haben eine neue und alarmierende Methode entwickelt, um eine der vertrauenswürdigsten Plattformen der KI-Welt zu weaponisieren.

Ein Bedrohungsakteur, der mit Nordkorea Verbindung steht, hat zweistufige Malware Hugging Face, den weit verbreiteten Hub für KI und maschinelles Lernen, eingebettet und ihn damit effektiv zu einem Verteilkanal für Malware sowie zu einem Live-Backend für die Ausfiltration für einen ausgeklügelten npm-Supply-Chain-Angriff gemacht, der derzeit Softwareentwickler weltweit aktiv angreift.

Der Angriff begann mit einem täuschend einfachen npm-Paket namens „terminal-logger-utils", das so gestaltet war, als handele es sich um eine routinemäßige Entwicklungshilfe.

Drei weitere Pakete, die damit verknüpft sind – pretty-logger-utils, ts-logger-pack und pinno-loggers – importierten und verbreiteten das schädliche Verhalten noch weiter und brachten jeden Entwickler, der diese installierte, in unmittelbare und ernste Gefahr.

Die Malware war in der Lage, Telegram-Daten, SSH-Schlüssel, Kryptowährungs-Wallets, Browser-Login-Datenbanken, Cloud-Konfigurationsdateien und Umgebungsvariablen auf mehreren Laufwerken zu stehlen. Forscher bösartigen Pakete und verfolgten den dahinterstehenden Angreifer auf Kampagnen zurück, die zuvor mit Nordkorea bzw. der DVRK dokumentiert wurden.

Das Konto des Angreifers „jpeek895" war bereits zuvor auf kmsec.uk gemeldet worden, weil dort ein sehr ähnliches npm-Paket hochgeladen wurde, das direkte Verbindungen zur Aktivität der DVRK aufwies. Security teilte in einem Bericht mit