NPM-Pakete laden Malware nach: Populärer HTTP-Client Axios kompromittiert

Die jüngste Serie der Supply-Chain-Angriffe auf prominente Softwarepakete reißt nicht ab. Dieses Mal hat es die NPM-Pakete des enorm verbreiteten HTTP-Clients Axios(öffnet im neuen Fenster) erwischt. Das Tool erreichte zuletzt teils mehr als 100 Millionen Downloads pro Woche. Entwickler, die Axios in ihre Projekte eingebunden haben, sollten dringend ihre Betroffenheit prüfen und gegebenenfalls alle Zugangsdaten ändern.

Ein knapper Überblick über den Vorfall ist in einem Blogbeitrag der Sicherheitsforscher von Aikido(öffnet im neuen Fenster) zu finden. Demnach ist es einem Angreifer gelungen, den NPM-Account des Axios-Maintainers Jason Saayman(öffnet im neuen Fenster) zu kompromittieren und in der Nacht auf den 31. März zwei mit Schadcode verseuchte Versionen des Tools (1.14.1 und 0.30.4) zu veröffentlichen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: 996: Von Shenzhen ins Silicon Valley und bald nach Berlin? Das Comeback der 72-Stunden-Woche

zum Ratgeber

Seminar: Microsoft 365 Security: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: Netzwerkanalyse mit Wireshark - gezielt Netzwerkdaten analysieren (E-Learning)

zum Kurs

Beide Versionen wurden innerhalb von drei Stunden wieder aus der NPM-Datenbank entfernt. Wer eine davon installiert hat, etwa auf einem Entwicklersystem oder automatisiert in einer CI/CD-Pipeline, sollte das jeweilige System als kompromittiert betrachten und dringend entsprechende Maßnahmen einleiten. Nach Angaben der Forscher wurde über die genannten Axios-Versionen ein Trojaner verbreitet, der einen Fernzugriff auf infizierte Systeme ermöglicht.

Attacken auf Windows, Linux und MacOS

Die Aikido-Forscher liefern in ihrem Beitrag(öffnet im neuen Fenster) mehrere Befehle mit, anhand derer sich feststellen lässt, ob auf einem System eine der manipulierten Axios-Versionen geladen wurde und lokal Spuren des eingeschleusten Trojaners zu finden sind. Ist dies der Fall, so sollten alle auf dem jeweiligen System zugänglichen NPM-Token, AWS-Zugangsschlüssel, SSH-Keys und andere Anmeldedaten zügig rotiert werden. Zudem sollte davon ausgegangen werden, dass der Angreifer auch an andere vertrauliche Daten gelangt ist.

Weitere Details zu dem Supply-Chain-Angriff sind in umfangreicheren Blogbeiträgen von Stepsecurity(öffnet im neuen Fenster) und Socket(öffnet im neuen Fenster) zu finden. Demnach hat der Angreifer bei den verseuchten Axios-Versionen eine Abhängigkeit für das Paket "plain-crypto-js@4.2.0" hinzugefügt, welches über ein Postinstall-Skript je nach erkanntem Betriebssystem anderen Schadcode nachlädt – sowohl für Windows als auch für Linux und MacOS.

Obwohl mehrere Supply-Chain-Attacken in den letzten Tagen auf den gleichen Cyberakteur namens TeamPCP zurückzuführen waren , gibt es bisher noch keine Hinweise darauf, dass der gleiche Akteur ebenfalls hinter dem Angriff auf Axios steckt. TeamPCP schleust auch in der Regel keinen Fernzugriffstrojaner ein, sondern konzentrierte sich bisher eher auf die Ausleitung von Anmeldedaten mit einem Infostealer.

• Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.