Hackers verstecken Linux-Payload unter SSH-artigem Dateinamen bei Paketinstallation

Eine neue Kampagne Entwickler ab, indem sie nach einer Methode sucht, die die meisten nie in Betracht ziehen würden. In Softwarepaketen auf GitHub verborgen, lädt ein Eine neue Kampagne Entwickler ab, indem sie nach einer Methode sucht, die die meisten nie in Betracht ziehen würden.

In Softwarepaketen auf GitHub verborgen, lädt ein bösartiger Skript während der Installation eine Linux-Binärdatei herunter und verschleiert diese durch einen Dateinamen, der wie ein Standard-Systemprozess aussieht. Der Angriff hat mittlerweile mehr als 700 Repositories in verschiedenen Ökosystemen erreicht.

Die Kampagne funktioniert, indem sie einen schädlichen Postinstall-Skript in PHP- und Node.js-Pakete einfügt. Wenn ein Entwickler ein betroffenes Paket installiert, führt der Skript automatisch aus, ohne jede sichtbare Warnung.

Er verbindet sich mit einem, lädt eine Binärdatei herunter und speichert sie in einem temporären Ordner des Linux-Systems des Opfers unter dem Namen `/tmp/.sshd` – einem Pfad, der eine legitime SSH-Daemon-Datei des Betriebssystems imitiert. Forscher Bericht mit