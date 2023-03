Webentwickler, die mit dem JavaScript-Paketmanager npm arbeiten, sollten vorsichtig sein. Analysen zeigten jetzt, dass ein großer Teil der eingereichten Pakete schlicht als SEO-Spam einzustufen ist. Das teilten die Sicherheitsexperten von Sandworm mit.

Diese haben die Packages, die der Datenbank in der letzten Zeit beigefügt wurden, unter die Lupe genommen. Dabei fanden sie in zahlreichen Fällen schlicht mehr oder weniger leere Pakete, deren Hauptzweck darin bestand, eine ReadMe-Datei mit Links zu verschiedenen bösartigen Websites zu transportieren. Von rund 320.000 automatisiert gescannten Paketen, traf dies auf 185.000 zu. Allein binnen einer Stunde, in der man bei Sandworm die Veröffentlichung der Erkenntnisse organisierte, kamen 1583 neue Pakete mit Spam für E-Books hinzu.Die meisten der von Sandworm entdeckten Spam-Pakete stammen von einem einzigen Telegram-Kanal, der es offenbar auf russischsprachige Menschen abgesehen hat. Die Namen der Pakete sind so gewählt, dass sie mit Suchanfragen zu verschiedenen sensiblen Themen übereinstimmen.Wer beispielsweise nach Informationen zum Krieg in der Ukraine oder zu Investitionsentscheidungen von Gazprom sucht, kann so letztlich auf folgenden Hinweis stoßen: "Vergessen Sie finanzielle Probleme für immer: Eine neue Verdienstmethode wird es Ihnen ermöglichen, Millionen zu verdienen, ohne Ihr Haus zu verlassen!" Die darauffolgenden Links verweisen auf einen Telegram-Kanal mit über 7000 Mitgliedern. Rund 93.000 analysierte Pakete haben diese identische Telegram-URL in ihrer Beschreibung.Den zweitgrößten SEO-Spam-Akteuren auf npm geht es um eher konventionelle Anzeigen für kostenlose Bücher und Videos im Internet. Diese führen zu Websites, auf denen der Benutzer eine Reihe von Aufgaben ausführen muss, um einen vermeintlichen Download-Link zu erhalten, der dann aber gar nicht zur erwünschten Datei führt. Hier geht es vor allem darum, den Nutzer zur Interaktion mit Werbung zu bringen, was den Betreibern dann Einnahmen generiert.Ein neuer Trend sind außerdem gefälschte Pakete, die kostenlose Fortnite V-Bucks versprechen. Auch hier geht es letztlich darum, Werbeklicks zu bekommen. Die Mitarbeiter von Sandworm arbeiten aktuell daran, alle als Spam identifizierten Pakete zu melden und so für eine Entfernung auf dem Repository zu sorgen. Es wird aber an den Entwicklern hinter dem Projekt sein, bessere Schutzmaßnahmen zu implementieren, mit denen man solche Pakete von Beginn an ausschließt.