Hunderte NPM-Pakete betroffen: Ein Wurm frisst sich durch das Javascript-Ökosystem
Eine am Dienstag bekanntgewordene Supply-Chain-Attacke auf das Javascript-Ökosystem scheint weitaus größer zu sein als bisher angenommen. Sicherheitsforscher von Socket identifizierten zunächst knapp 40 betroffene NPM-Paketversionen. In einem neuen Blogbeitrag(öffnet im neuen Fenster) listen sie sogar fast 500 Versionen auf, in denen der eingeschleuste Schadcode enthalten ist.
Begonnen hatte alles mit dem wöchentlich mehr als zwei Millionen Mal heruntergeladenen NPM-Paket @ctrl/tinycolor(öffnet im neuen Fenster) . Der Entwickler Daniel Pereira entdeckte darin eingeschleusten Schadcode. Weitere Untersuchungen zeigten, dass der Code automatisch nach der Installation ausgeführt wird und aktiv nach Anmeldedaten sucht, um diese auszuleiten.
Der Angreifer ist offenbar ein Dune-Fan
Inzwischen bezeichnen Sicherheitsforscher die Attacke als Shai-Hulud-Angriff. Grund dafür ist, dass die Malware mit einer Workflow-Datei namens shai-hulud-workflow.yaml arbeitet. Der Angreifer hatte offenbar das Ziel, mit seiner Malware ein wurmartiges Verhalten zu erzeugen, denn Shai Hulud ist der Name der riesigen Sandwürmer aus dem Science-Fiction-Universum Dune von Frank Herbert.
Die Schadsoftware lädt auf einem Zielsystem nach der Installation eines kompromittierten NPM-Paketes automatisch ein Open-Source-Tool namens Trufflehog(öffnet im neuen Fenster) nach, um damit nach Anmeldeinformationen wie Token, Schlüsseln oder Passwörtern zu suchen. Anschließend werden Github-Action-Workflows erstellt und die erbeuteten Daten an einen vom Angreifer kontrollierten Webhook übermittelt.
Der Wurm frisst sich durch weitere Pakete
Mittlerweile haben auch Sicherheitsexperten von Aikido(öffnet im neuen Fenster) und Step Security(öffnet im neuen Fenster) die Malware untersucht und eigene Analysen veröffentlicht. Demnach basiert das wurmartige Verhalten darauf, dass die Schadsoftware die erbeuteten Zugangsdaten auf Systemen von NPM-Maintainern unter anderem ausnutzt, um sich selbst in weitere Pakete einzuschleusen und diese damit ebenfalls zu kompromittieren.
Das scheint auch bisher zu funktionieren. Die Aikido-Forscher listen in ihrer Meldung 187 NPM-Pakete auf, die bereits von der Attacke betroffen sind. Die Socket-Forscher schlüsseln die betroffenen Pakete in ihrem neuen Beitrag nach Versionsnummern auf und kommen so auf bisher 477 kompromittierte NPM-Paketversionen. Ob noch weitere folgen, bleibt abzuwarten.
Auch einige Pakete des bekannten Cybersecuritykonzerns Crowdstrike sind von dem Angriff betroffen. In einer von Bleeping Computer geteilten(öffnet im neuen Fenster) Stellungnahme erklärte das Unternehmen, es habe die betroffenen Paketversionen umgehend entfernt und seine Schlüssel in öffentlichen Registrierungen proaktiv rotiert. Auswirkungen auf den Falcon-Sensor und die Sicherheit der Crowdstrike-Kundensysteme soll der Vorfall nicht haben.