Das Cybersecurity-Unternehmen Socket hat eine hochentwickelte Malware-Kampagne aufgedeckt, die gezielt Entwickler der beliebten Gaming-Plattform Roblox ins Visier nimmt. Die Angreifer nutzen dabei das npm-Repository zur Verbreitung von Datendiebstahl-Tools durch gefälschte Entwicklerbibliotheken.
Identifizierte Bedrohungen im npm-Ökosystem
Die Sicherheitsforscher identifizierten vier verdächtige npm-Pakete mit insgesamt über 300 Downloads: node-dlls, ro.dll, autoadv und rolimons-api. Besonders besorgniserregend ist die gezielte Nachahmung legitimer Roblox-Entwicklertools, insbesondere des weitverbreiteten node-dll-Pakets, was die Erkennungswahrscheinlichkeit deutlich reduziert.
Technische Analyse der Malware-Funktionalität
Die schadhaften Pakete enthielten verschleierten JavaScript-Code, der zwei bekannte Malware-Varianten nachlädt: den in Golang geschriebenen Skuld Stealer und den Python-basierten Blank Grabber. Die Angreifer nutzten einen speziell eingerichteten GitHub-Repository zur Verteilung der schädlichen Binärdateien, wodurch traditionelle Sicherheitsmechanismen umgangen wurden.
Datenexfiltration und Kommunikationsmethoden
Nach erfolgreicher Infektion sammeln die Malware-Tools sensitive Informationen vom Zielsystem. Die gestohlenen Daten werden über Discord- und Telegram-Webhooks übertragen – eine Methode, die die Erkennung durch klassische Sicherheitslösungen erschwert, da sie legitimen Kommunikationskanälen ähnelt.
Bedrohungspotenzial für das Software-Ökosystem
Obwohl die Anzahl der Downloads der schadhaften Pakete vergleichsweise gering erscheint, verdeutlicht der Vorfall gravierende Risiken in der Software-Supply-Chain. Zum Vergleich: Das legitime Python-Paket rolimons verzeichnet über 17.000 Downloads, was das potenzielle Schadensausmaß bei erfolgreicher Täuschung demonstriert.
Dieser Vorfall unterstreicht die wachsende Bedeutung umfassender Sicherheitsmaßnahmen in der modernen Softwareentwicklung. Entwickler sollten verstärkt auf die Verifizierung von Paketquellen achten und Multi-Faktor-Authentifizierung sowie Code-Signing-Praktiken implementieren. Die Verwendung automatisierter Sicherheitstools zur Überprüfung von Abhängigkeiten wird dringend empfohlen, um ähnliche Supply-Chain-Angriffe frühzeitig zu erkennen und zu verhindern.
