Malicious npm packages abuse dependency confusion to profile developer environments
Key Insight
Aktive Kampagne mit Dependency-Confusion-Technik gegen Entwicklerumgebungen: Angreifer mit russischen E-Mail-Adressen registrieren gefälschte scoped npm-Pakete, die interne Unternehmens-Namespaces imitieren, um Reconnaissance-Payloads einzuschleusen.
Beschreibung
Microsoft Threat Intelligence dokumentiert eine aktive Supply-Chain-Attacke mit neun bösartigen npm-Paketen, die unter organisatorischen Scopes registriert wurden und echte interne Unternehmens-Namespaces nachahmen (z.B. @cloudplatform-single-spa, @sber-ecom-core). Die Angreifer (drei Maintainer-Accounts mit russischen Yandex-E-Mail-Adressen) nutzen die Dependency-Confusion-Technik, um obfuskierte Reconnaissance-Payloads in Entwicklerumgebungen einzuschleusen. Die Kampagne erstreckt sich über zwei Publishing-Bursts am 28. und 29. Mai 2026, mit einigen Pre-Staged-Releases bereits vom 4. Mai 2026. Systeme, die diese Pakete nach dem 28. Mai 2026 installiert oder gebaut haben, sind potenziell kompromittiert und sammeln Umgebungsdaten zur Profilierung.
Risk Score
- cvss base
- 0.00
- kev bonus
- 0.00
- epss bonus
- 0.00
- poc bonus
- 0.00
- raw before weight
- 0.00
- industry weight
- 1.10
- freshness factor
- 1.00
- days old
- 0.00
- vendor mismatch penalty
- 0.00
Pfad: operational