- Eine laufende Angriffskampagne versucht, Entwicklergeräte zu infizieren, indem Hunderte bösartige Pakete in das NPM-(Node Package Manager)-Repository hochgeladen werden, die von den betreffenden Code-Bibliotheken abhängen
- Die Namen der bösartigen Pakete ähneln legitimen Code-Bibliotheken wie Puppeteer, Bignum.js sowie verschiedenen Kryptowährungs-Bibliotheken
- Diese Kampagne war zum Zeitpunkt der Veröffentlichung des Artikels weiterhin aktiv und wurde von dem Sicherheitsunternehmen Phylum entdeckt
Auf Supply-Chain-Angriffe achten
- Die Malware-Autoren mussten neue Wege finden, ihre Absichten zu verbergen und die von ihnen kontrollierten Remote-Server zu verschleiern
- Das ist eine fortlaufende Warnung dafür, dass Supply-Chain-Angriffe weiterhin sehr aktiv sind
- Die installierten bösartigen Pakete verwenden eine neue Methode, um die IP-Adresse zu verbergen, zu der sie sich verbinden, um eine bösartige Malware-Payload der zweiten Stufe abzurufen
- Im Code der ersten Stufe taucht überhaupt keine IP-Adresse auf. Stattdessen wird auf einen Ethereum-Smart-Contract zugegriffen, um eine Zeichenfolge (IP-Adresse) abzurufen, die einer bestimmten Contract-Adresse im Ethereum-Mainnet zugeordnet ist
- Die von Phylum in den analysierten Paketen zurückgegebene IP-Adresse war hxxp://193.233.201[.]21:3001
- Wenn Daten in der Ethereum-Blockchain gespeichert werden, lassen sich die zuvor vom Angreifer verwendeten IP-Adressen erkennen
- Ethereum speichert eine unveränderliche Historie aller jemals gesehenen Wertänderungen
- Dadurch lassen sich alle von diesem Bedrohungsakteur verwendeten IP-Adressen einsehen
- Die bösartigen Pakete werden in Form eines Vercel-Pakets installiert und im Speicher ausgeführt
- Die Payload wird so eingerichtet, dass sie bei jedem Neustart geladen wird, und verbindet sich mit der IP-Adresse aus dem Ethereum-Contract
- Anschließend führt sie mehrere Anfragen aus, um zusätzliche JavaScript-Dateien abzurufen, und sendet dann Systeminformationen an denselben Request-Server zurück
- Zu diesen Informationen gehören GPU, CPU, die Menge des Arbeitsspeichers des Rechners, der Benutzername und Informationen zur OS-Version
- Angriffe mit Tippfehlern werden häufig eingesetzt
- Dieser Angriff stützt sich auf Typosquatting, bei dem Namen verwendet werden, die legitimen Paketen sehr ähnlich sind, sich aber nur um wenige Zeichen unterscheiden
- Typosquatting wurde in den vergangenen fünf Jahren dazu verwendet, Entwickler zum Herunterladen bösartiger Code-Bibliotheken zu verleiten
- Entwickler sollten den Namen eines heruntergeladenen Pakets immer noch einmal genau prüfen, bevor sie es ausführen
8 Kommentare
Wenn man Smart Contracts verwendet, könnte man vielleicht auch zurückangreifen und dabei das Gas des Hackers aufbrauchen, haha.
Wie auch immer, am Ende sind diese verdammten Coins das Problem.
Es wäre schön, wenn es im Nix-Store so etwas wie einen Malware-Scanner gäbe, ich sollte mal danach suchen. Entwickler sollten alle zu nix wechseln. Man sollte alle digitalen Assets einfrieren und festschreiben, damit niemand sie anfassen kann. Und der Staat sollte endlich mal so etwas wie eine RAG-AI bauen und an Unternehmen verteilen – wann soll das denn passieren? Viel Erfolg. Wann endet diese Entwicklungsumgebung, die schlechter ist als die in Südostasien?
Für welches Unternehmen arbeitest du eigentlich, dass du in einer Entwicklungsumgebung arbeiten musst, die schlechter ist als in Südostasien …
Sie meinen wohl, dass es nicht an einem Unternehmensproblem liegt, sondern an einem staatlichen politischen Problem.
Bei npm tritt dieses Problem gefühlt immer wieder auf — gibt es solche Probleme in Paket-Repositories anderer Sprachen nicht?
Zum Beispiel: Ist es dort sicherer, weil die Standardeinstellung des Paketmanagers
allow-net=falseoderignore-scripts=trueist, oder ist die Lage ähnlich ..Npm fällt nur deshalb besonders auf, weil es so weit verbreitet ist.
Bei Paket-Repositories anderer Sprachen ist es im Grunde genauso.
Ich denke, dass Tools, die Bibliotheken automatisch aus der Ferne abrufen und verwenden, wie cargo, alire, maven usw., alle ähnlichen Bedrohungen ausgesetzt sind.