Neuer Cyberangriff trifft beliebte Software: Was bedeutet das für Ihr KMU?

Große Schwachstelle in beliebter Software entdeckt

Kürzlich wurde ein neuer, beunruhigender Cyberangriff aufgedeckt. In mehreren Softwarepaketen, die von Entwicklern weltweit häufig genutzt werden, wurden Schwachstellen entdeckt. Dieser Angriff konzentriert sich auf die sogenannte „Softwarelieferkette“.

Das bedeutet, dass Angreifer Zugriff auf bereits geschriebenen Code erhalten, der dann in neuer Software verwendet wird.

Der Angriff nutzt eine Methode namens „Mini Shai-Hulud“. Dabei werden beliebte Softwarepakete, die über das npm-Netzwerk verfügbar sind, infiziert. npm ist eine große Online-Bibliothek mit wiederverwendbaren Code-Bausteinen, die Entwickler weltweit nutzen, um schneller und effizienter zu arbeiten.

Durch die Infektion dieser Pakete können die Angreifer ihre schädliche Software an alle verbreiten, die die betreffenden Pakete verwenden.

Konkret sind mehrere Pakete betroffen, die mit dem @antv-Ökosystem in Verbindung stehen. Dies ist eine Sammlung von Tools und Bibliotheken für Datenvisualisierung. Ein Beispiel für ein betroffenes Paket ist „echarts-for-react“.

Dieses Paket wird verwendet, um interaktive Diagramme in Webanwendungen zu erstellen, die mit React, einem weit verbreiteten Framework, entwickelt wurden. Dieses Paket wird wöchentlich von über einer Million Entwicklern genutzt, was zeigt, wie weit verbreitet das Problem potenziell ist.

Die Angreifer konnten dies erreichen, indem sie das Konto eines Administrators („Maintainer“) dieser Softwarepakete kompromittierten. Ein Administrator hat die Befugnis, Code zu den Paketen hinzuzufügen und zu entfernen. Wenn ein solches Konto gehackt wird, können Angreifer schädlichen Code hinzufügen, ohne dass andere dies sofort bemerken.

Der Code scheint dann legitim und wird ohne Argwohn in andere Softwareprojekte integriert.

Wie genau funktioniert dieser Angriff?

Diese spezifische Angriffstechnik, „Mini Shai-Hulud“, ist eine Fortsetzung zuvor entdeckter Angriffsvektoren. Sie zielt darauf ab, die „Software-Lieferkette“ zu infiltrieren. Stellen Sie sich vor, die Software, die Sie verwenden, besteht aus kleinen, vorgefertigten Bausteinen.

Dieser Angriff versucht, die Produktion dieser Bausteine zu infizieren. Sobald ein Baustein infiziert ist, wird jede Anwendung, die diesen Baustein verwendet, indirekt ebenfalls infiziert.

Die Angreifer haben speziell das Konto „atool“ auf npm infiziert. Dieses Konto verwaltet verschiedene Pakete. Eines der bekanntesten ist eben „echarts-for-react“.

Dies ist im Grunde ein „Wrapper“, ein Stück Software, das es einfacher macht, eine andere, leistungsstarke Grafikbibliothek namens Apache ECharts innerhalb einer React-Anwendung zu verwenden. Der Erfolg und die weite Verbreitung von „echarts-for-react“ machen es zu einem idealen Ziel für Angreifer, die eine große Anzahl von Systemen erreichen wollen.

Die Kompromittierung des „atool“-Kontos bedeutet, dass die Angreifer die Kontrolle über neue Versionen dieser Pakete erhielten. Sie konnten also bösartigen Code in Updates injizieren, die dann von anderen Entwicklern heruntergeladen wurden. Dieser Code konnte verschiedene Dinge tun, wie z.

B. Daten stehlen, andere schädliche Software installieren oder eine Hintertür für zukünftige Angriffe öffnen.

Das heimliche Wesen dieses Angriffs macht ihn besonders gefährlich, da die Infektion lange unbemerkt bleiben kann.

Da der Angriff auf Open-Source-Software abzielt, die breit eingesetzt wird, hat dies potenziell weitreichende Folgen. Es ist nicht so sehr ein einzelner Softwareanbieter betroffen, sondern ein grundlegender Bestandteil der Art und Weise, wie moderne Software entwickelt wird. Sicherheitsexperten warnen, dass solche Angriffe den Trend einer zunehmenden gegenseitigen Abhängigkeit von Softwarekomponenten ausnutzen.

Gerade die Effizienz dieser Methode macht sie für Cyberkriminelle attraktiv.

Was bedeutet das für KMU-Unternehmen?

Für kleine und mittlere Unternehmen (KMU) können die Auswirkungen solcher Angriffe erheblich sein, auch wenn Sie die spezifisch betroffenen Pakete möglicherweise nicht direkt verwenden. Erstens, wenn Ihre IT-Abteilung oder ein beauftragter externer Dienstleister die jetzt kompromittierten @antv-Pakete verwendet, sind Sie direkt gefährdet. Dies kann zu Datenlecks, Störungen Ihrer Geschäftsabläufe oder sogar Ransomware-Angriffen führen, wenn der injizierte Code dies vorsieht.

Aber auch wenn Sie die spezifischen Pakete nicht verwenden, besteht eine indirekte Gefahr. Viele KMU nutzen Software, die von größeren Unternehmen entwickelt wird. Diese größeren Unternehmen wiederum nutzen Open-Source-Komponenten wie die von npm.

Wenn eine wichtige Komponente in der Lieferkette eine Schwachstelle aufweist, kann dies letztendlich in die Softwareprodukte durchsickern, die KMU täglich nutzen. Es ist daher entscheidend zu wissen, welche Software Sie verwenden und welche zugrunde liegenden Komponenten darin enthalten sind.

Darüber hinaus unterstreicht dieser Vorfall die Bedeutung einer robusten Cybersicherheitsrichtlinie. Für KMU bedeutet dies konkret:

• Software aktuell halten: Stellen Sie sicher, dass alle verwendeten Software, einschließlich Betriebssysteme, Anwendungen und Entwicklungswerkzeuge, regelmäßig aktualisiert wird. Updates enthalten oft entscheidende Sicherheitspatches.
• Kritisch gegenüber externen Quellen sein: Seien Sie vorsichtig bei der Implementierung neuer Softwarekomponenten, insbesondere wenn diese aus unbekannten oder weniger vertrauenswürdigen Quellen stammen. Überprüfen Sie den Ruf und die Wartung der von Ihren IT-Anbietern verwendeten Komponenten.
• Sicherheitsmaßnahmen implementieren: Denken Sie an Firewalls, Antivirensoftware und Zugriffskontrolle. Regelmäßige Backups sind unerlässlich, um sich nach einem Vorfall erholen zu können.
• Mitarbeiter schulen: Das Bewusstsein der Mitarbeiter für Phishing und andere Social-Engineering-Techniken ist eine wichtige Verteidigungslinie. Ein kompromittiertes Mitarbeiterkonto kann ebenfalls ein Einfallstor sein.
• Fragen Sie Ihren IT-Anbieter: Erkundigen Sie sich bei Ihrem IT-Anbieter, ob er die aktuellen Schwachstellen kennt und welche Maßnahmen er zum Schutz Ihrer Systeme ergreift. Transparenz ist hier entscheidend.

Fazit

Die Entdeckung des Mini Shai-Hulud-Angriffs auf npm-Pakete wie echarts-for-react ist ein weiteres Signal dafür, dass die digitale Welt immer komplexer und anfälliger wird. Die Softwarelieferkette ist zu einem wichtigen Angriffsvektor geworden. Für KMU-Unternehmen ist es heute wichtiger denn je, bei ihrer Cybersicherheit proaktiv zu sein.

Indem Sie auf dem Laufenden bleiben, Software aktuell halten und in grundlegende Sicherheit investieren, kann die Widerstandsfähigkeit Ihrer Organisation erheblich gesteigert werden. Zögern Sie nicht, Cybersicherheitsexperten um Hilfe zu bitten, um Ihre Systeme zu bewerten und zu stärken.

**Mehr erfahren? ** Informieren Sie sich auch, wie Assist2go mit der passenden IT-Dienstleistung für Ihr Unternehmen helfen kann.