Sicherheitsforscher von Veracode haben eine hochentwickelte Malware im beliebten npm-Repository identifiziert. Das kompromittierte Paket „os-info-checker-es6“ wurde seit Mai 2025 über 1.000 Mal heruntergeladen und setzt fortschrittliche Verschleierungstechniken ein, um schädlichen Code zu verbergen.
Ausgefeilte Entwicklung der Malware-Kampagne
Das ursprünglich am 19. März veröffentlichte Paket erschien zunächst als legitimes Tool zur Systemanalyse. Die Version 1.0.8 vom 7. Mai enthielt jedoch einen komplexen Payload-Delivery-Mechanismus, der plattformspezifische Binärdateien und verschleierte Installationsskripte nutzt. Diese Evolution verdeutlicht die zunehmende Raffinesse moderner Supply-Chain-Angriffe.
Innovative Steganographie-Techniken zur Code-Verschleierung
Die Angreifer implementierten eine neuartige Steganographie-Methode unter Verwendung von Unicode-Variation-Selectors (U+E0100 – U+E01EF). Diese für Menschen unsichtbaren Zeichen, die normalerweise zur Glyphen-Modifikation in komplexen Schriftsystemen dienen, wurden geschickt zur Tarnung des schädlichen Codes nach dem Pipe-Symbol („|“) eingesetzt.
Sophistizierte Command & Control Infrastruktur
Die Analyse offenbarte einen mehrstufigen Steuerungsmechanismus, der Google Calendar als Zwischenstufe nutzt. Das System extrahiert base64-codierte URLs aus dem data-base-title-Attribut von Kalenderereignissen, wodurch die Erkennung der schädlichen Aktivitäten erheblich erschwert wird.
Verbundene Bedrohungen im Ökosystem
Die Untersuchung identifizierte vier weitere verdächtige Pakete mit Abhängigkeiten zu os-info-checker-es6: skip-tot, vue-dev-serverr, vue-dummyy und vue-bit. Diese Pakete tarnen sich als Entwicklungswerkzeuge, wobei ihre direkte Verbindung zur Hauptkampagne noch untersucht wird.
Diese Entdeckung unterstreicht die kritische Bedeutung umfassender Sicherheitsüberprüfungen bei der Verwendung von Open-Source-Komponenten. Entwickler sollten ihre Projekte umgehend auf die genannten Abhängigkeiten prüfen und diese bei Vorhandensein entfernen. Die Implementation automatisierter Sicherheitsanalysen und die regelmäßige Überprüfung der Software-Lieferkette sind essentiell, um ähnliche Bedrohungen frühzeitig zu erkennen und abzuwehren.
