Mini-Shai-Hulud: Erneut millionenfach genutzte NPM-Pakete kompromittiert
Der Mini-Shai-Hulud genannte und der berüchtigten Hackergruppe TeamPCP zugeschriebene Supply-Chain-Angriff scheint noch nicht beendet zu sein. Sicherheitsforscher haben erneut Hunderte von NPM-Paketen entdeckt, die kürzlich mit Schadcode verseucht wurden. Socket listet in einem Blogbeitrag(öffnet im neuen Fenster) mittlerweile über 1.000 von Mini-Shai-Hulud betroffene NPM-Paketversionen auf. Ein Großteil davon kam erst in der Nacht auf den 19. Mai hinzu.
Zuletzt hatte es vor allem Pakete aus dem @antv-Namespace getroffen. Laut Step Security(öffnet im neuen Fenster) handelt es sich dabei um ein Datenvisualisierungsökosystem von Alibaba. Aber auch andere teils recht populäre NPM-Pakete wie timeago.js, timeago-react, size-sensor, canvas-nest.js und echarts-for-react sollen betroffen sein.
Hunderte von Paketen kompromittiert
Listen aller nach aktuellem Kenntnisstand manipulierten Pakete sind in Blogbeiträgen von Socket(öffnet im neuen Fenster), Step Security(öffnet im neuen Fenster) und OX Security(öffnet im neuen Fenster) zu finden. Die Pakete sind jeweils mit Malware verseucht, die in Form einer verschleierten index.js-Datei auf die Systeme der Nutzer gelangt. Die allermeisten betroffenen Pakete sind NPM-Pakete. Socket benennt hier 1.048 einzelne Versionen von insgesamt 498 NPM-Paketen.
Hinzu kommen vereinzelt ein paar PyPI- und Composer-Pakete für Python- und PHP-Projekte. Über alle Plattformen hinweg listet Socket insgesamt 1.055 kompromittierte Paketversionen auf. Zur jüngsten Angriffswelle auf das @antv-Ökosystem gehören allerdings nur 323 NPM-Pakete und 639 Paketversionen. Der Rest ist Teil früherer Angriffsaktivitäten.
Die betroffenen Pakete decken verschiedene Anwendungsbereiche wie Mapping, Diagrammerstellung und Grafikvisualisierung ab. Teilweise sind aber auch React-Komponenten und einfache Javascript-Hilfsprogramme betroffen. Manche Pakete kommen auf wenige Tausend Downloads pro Woche, andere werden wöchentlich millionenfach abgerufen. Laut OX Security erreichen alle Pakete der jüngsten Angriffswelle zusammen über 16 Millionen Downloads pro Woche.
"Here We Go Again"
Den Forschern zufolge dauert der Angriff an. Es könnten also in Kürze noch weitere Pakete kompromittiert werden. Ursprung der jüngsten Angriffswelle ist den Angaben zufolge ein kompromittierter NPM-Account namens atool(öffnet im neuen Fenster), über den die Angreifer ihren Schadcode in zahlreiche Pakete einschleusen konnten. Laut Profil steht atool derzeit mit 554 NPM-Paketen in Verbindung.
Die Angreifer haben es vor allem auf Anmeldeinformationen abgesehen, mit denen sie ihre Angriffsaktivitäten ausweiten können. Die Datenausleitung erfolgt über Github. Es wurden bereits über 2.700 der Angriffskampagne zugeordnete Github-Repositorys identifiziert(öffnet im neuen Fenster). Diese enthalten jeweils die Zeichenkette "niagA oG eW ereH :duluH-iahS", was invertiert für "Shai-Hulud: Here We Go Again" steht.
Softwareentwickler sollten dringend prüfen, ob sie eines der betroffenen Pakete im Einsatz haben und ihre Systeme oder CI/CD-Pipelines möglicherweise kompromittiert sind. Gibt es Hinweise auf eine Kompromittierung, so sollten sofort alle auf den jeweiligen Systemen hinterlegten Anmeldeinformationen rotiert werden. Weitere Handlungsempfehlungen sind in den oben verlinkten Blogbeiträgen sowie einem X-Beitrag von Microsoft(öffnet im neuen Fenster) zu finden.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.