Millionen von Downloads: Schadcode in über 40 NPM-Pakete eingeschleust

Sicherheitsforscher von Socket haben eine neue Warnung vor einem gefährlichen Supply-Chain-Angriff herausgegeben, der darauf abzielt, Anmeldeinformationen abzugreifen. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) sind dieses Mal mehr als 40 NPM-Pakete betroffen, die von verschiedenen Maintainern verwaltet werden. Entwickler sollten prüfen, ob sie eines dieser Pakete verwenden, und gegebenenfalls Maßnahmen ergreifen.

Der Angriff fiel einem Entwickler namens Daniel Pereira auf. Dieser entdeckte den eingeschleusten Schadcode laut eigenem Linkedin-Beitrag(öffnet im neuen Fenster) zuerst in einem NPM-Paket namens @‌ctrl/tinycolor, das jede Woche mehr als zwei Millionen Mal heruntergeladen wird.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop

zum Kurs

E-Learning: Exklusiv: Ethical Hacking: Schwachstellen in Webanwendungen und Datenbanken (E-Learning)

zum Kurs

Bei näherer Untersuchung des Vorfalls fanden die Socket-Forscher aber noch zahlreiche weitere kompromittierte NPM-Pakete. Eine vollständige Liste inklusive betroffener Versionsnummern ist dem Blogbeitrag der Forscher(öffnet im neuen Fenster) zu entnehmen. Im Falle von @‌ctrl/tinycolor sind sowohl Version 4.1.1(öffnet im neuen Fenster) als auch Version 4.1.2(öffnet im neuen Fenster) mit Malware verseucht. Seit wenigen Stunden gibt es aber bereits die bereinigte Version 4.2.0(öffnet im neuen Fenster) .

Malware sammelt Anmeldedaten

Dem Socket-Bericht zufolge lädt der eingeschleuste Schadcode unter anderem ein Skript namens bundle.js nach, welches unmittelbar nach der Installation automatisch Trufflehog ausführt – ein von Truffle Security entwickeltes Open-Source-Tool(öffnet im neuen Fenster) zum Scannen nach Anmeldedaten.

Damit sucht die Malware auf infiltrierten Systemen automatisch nach Tokens, Schlüsseln und Zugangsdaten. Die gesammelten Daten werden anschließend exfiltriert. Dafür erstellt das Skript einen Github-Action-Workflow und sendet die erbeuteten Informationen an einen fest kodierten Webhook.

Entwicklern wird empfohlen, die kompromittierten Versionen der betroffenen NPM-Pakete zu meiden und stattdessen ältere oder bereits bereinigte Versionen zu verwenden. Zudem sollten alle auf betroffenen Systemen gespeicherten Tokens, Schlüssel und andere Anmeldedaten schnellstmöglich ersetzt werden.

Dies ist nur einer von mehreren Angriffen auf das Javascript-Ökosystem , die sich in den vergangenen Wochen ereigneten. Pereira vermutet, dass der jüngste Angriff möglicherweise ein Folgeangriff der im August bekannt gewordenen Supply-Chain-Attacke auf das Build-System Nx ist. Die Socket-Forscher untersuchen den Vorfall noch und wollen zu einem späteren Zeitpunkt weitere Informationen veröffentlichen.

• Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.