SlowMist entdeckt plattformübergreifenden Supply-Chain-Angriff auf Krypto-Entwickler

Wie Odaily Planet Daily berichtet, hat SlowMist in seinem Monitoring über MistEye einen registerübergreifenden Supply-Chain-Angriff auf Entwickler festgestellt. Angreifer platzierten Schadpakete zeitgleich über npm, PyPI und Crates.io. Nach Angaben von SlowMist umfasst die Kampagne mehr als 34 bösartige Pakete mit über 384 zugehörigen Versionen und richtet sich unter anderem an Communities aus den Bereichen Kryptowährungen, DeFi, Solana, Sui/Move sowie KI-Entwicklung. Zu den möglichen Zielen zählen der Diebstahl von Krypto-Wallets, SSH-Keys, Cloud-Zugangsdaten, GitHub/AWS-Tokens, Browser-Daten, Umgebungsvariablen und Entwickler-Keys. Teile der Payloads versuchen zudem Persistenz herzustellen, unter anderem über "cursorrules", "CLAUDE.md", Git-Hooks, Shell-Hooks, Cron, systemd und SSH. SlowMist empfiehlt, betroffene Pakete umgehend zu entfernen, kompromittierte Systeme zu isolieren, Logs zu sichern, offengelegte Zugangsdaten zu rotieren, CI-Runner und Entwicklerrechner aus sauberen Images neu aufzusetzen sowie Aktivitäten in GitHub, Cloud-Diensten, per SSH und in Wallets zu überprüfen.