Neue Welle von bösartigen npm-Paketen bedroht Kubernetes-Konfigurationen und SSH-Schlüssel
Cybersecurity-Forscher haben in der npm-Paketregistrierung eine neue Welle bösartiger Pakete entdeckt, die Kubernetes-Konfigurationen und SSH-Schlüssel von kompromittierten Rechnern auf einen entfernten Server exfiltrieren sollen.
Sonatype hat nach eigenen Angaben bisher 14 verschiedene npm-Pakete entdeckt: @am-fe/hooks, @am-fe/provider, @am-fe/request, @am-fe/utils, @am-fe/watermark, @am-fe/watermark-core, @dynamic-form-components/mui, @dynamic-form-components/shineout, @expue/app, @fixedwidthtable/fixedwidthtable, @soc-fe/use, @spgy/eslint-plugin-spgy-fe, @virtualsearchtable/virtualsearchtable, und shineouts. „Diese Pakete […] versuchen, sich als JavaScript-Bibliotheken und -Komponenten auszugeben, wie zum Beispiel ESLint-Plugins und TypeScript-SDK-Tools“, so das Security-Unternehmen. „Nach der Installation wurden jedoch mehrere Versionen der Pakete gesehen, die verschleierten Code ausführten, um sensible Dateien von der Zielmaschine zu sammeln und abzuschöpfen.“
Neben der Kubernetes-Konfiguration und SSH-Schlüsseln sind die Module auch in der Lage, System-Metadaten wie Benutzername, IP-Adresse und Hostname zu sammeln, die alle an eine Domain namens app.threatest[.]com übermittelt werden.
Die Enthüllung erfolgte zeitnah, nachdem Sonatype gefälschte npm-Pakete entdeckte, die eine als „Abhängigkeitsverwirrung“ bekannte Technik ausnutzen. Hier diente sie dazu, um interne Pakete zu imitieren, die angeblich von den Entwicklern von PayPal Zettle und Airbnb als Teil eines ethischen Forschungsexperiments verwendet wurden.
Dennoch zielen Bedrohungsakteure mit Cryptojackern, Infostealern und anderer neuartiger Malware weiterhin auf Open-Source-Registrierungen wie npm und PyPI ab, um die Systeme von Entwicklern zu kompromittieren und letztlich die Software-Lieferkette zu vergiften.
In einem Fall, auf den Phylum kürzlich hinwies, blieb ein npm-Modul namens hardhat-gas-report seit dem 6. Januar 2023 mehr als acht Monate lang harmlos, bevor es am 1. September 2023 zwei aufeinanderfolgende Updates erhielt, die bösartiges JavaScript enthielten, das in der Lage war, private Ethereum-Schlüssel, die in die Zwischenablage kopiert wurden, auf einen entfernten Server zu exfiltrieren. „Dieser gezielte Ansatz deutet auf ein ausgefeiltes Verständnis der Kryptowährungssicherheit hin und lässt vermuten, dass der Angreifer darauf abzielt, sensible kryptografische Schlüssel zu erbeuten und zu exfiltrieren, um unbefugten Zugang zu Ethereum-Wallets oder anderen gesicherten digitalen Vermögenswerten zu erhalten“, so das Unternehmen.
Ein weiterer Angriffsversuch auf die Lieferkette betraf ein raffiniertes npm-Paket namens gcc-patch, das sich als maßgeschneiderter GCC-Compiler (GNU Compiler Collection) ausgab, in Wirklichkeit aber einen Kryptowährungs-Miner enthielt, der „heimlich die Rechenleistung ahnungsloser Entwickler anzapft, um auf deren Kosten zu profitieren“.
Ein Zeichen dafür, dass solche Bedrohungen viel zu oft auftreten, ist eine ähnliche Kryptojacking-Kampagne, die auf PyPI abzielt und ein betrügerisches Python-Paket namens culturestreak nutzt, um Systemressourcen zu kapern und die Kryptowährung Dero zu schürfen, indem eine Nutzlast aus einem GitLab-Repository heruntergeladen wird, berichtet Checkmarx.
Darüber hinaus haben sich solche Kampagnen auf die Ökosysteme Javascript (npm), Python (PyPI) und Ruby (RubyGems) ausgeweitet, wobei Bedrohungsakteure mehrere Pakete mit Datenerfassungs- und Exfiltrationsfunktionen hochladen und anschließend neue Versionen mit bösartigen Nutzdaten veröffentlichen.
Die Kampagne zielt speziell auf Apple macOS-Nutzer ab, was darauf hindeutet, dass Malware in Open-Source-Paket-Repositories nicht nur immer häufiger vorkommt, sondern auch andere Betriebssysteme als Windows ins Visier nimmt. „Der Autor dieser Pakete inszeniert eine breit angelegte Kampagne gegen Softwareentwickler“, so Phylum in einer Analyse. „Das Endziel dieser Kampagne bleibt unklar“.