Cybersicherheitsexperten von Aikido haben eine kritische Sicherheitslücke im weitverbreiteten NPM-Paket rand-user-agent aufgedeckt. Das Paket, das wöchentlich über 45.000 Downloads verzeichnet, wurde mit einem hochentwickelten Remote Access Trojan (RAT) infiziert. Die Kompromittierung betrifft die Versionen 2.0.83, 2.0.84 und 1.0.110, die mittlerweile aus dem NPM-Repository entfernt wurden.
Technische Details der Malware-Infektion
Die Analyse zeigt, dass die Angreifer einen veralteten Automatisierungstoken ohne Zwei-Faktor-Authentifizierung (2FA) kompromittierten, um manipulierte Versionen des Pakets zu veröffentlichen. Der eingeschleuste Schadcode erstellt einen versteckten Ordner „~/.node_modules“ und modifiziert die module.paths-Konfiguration, um zusätzliche schädliche Komponenten nachzuladen.
Funktionsweise und Auswirkungen des RAT
Nach der Installation etabliert die Malware eine permanente Verbindung zu einem Command & Control (C2) Server unter der IP-Adresse 85.239.62[.]36:3306. Über diesen Kanal werden sensitive Systeminformationen wie Hostname, Benutzerdetails und eine eindeutige Gerätekennung exfiltriert. Besonders besorgniserregend ist, dass ein einfaches Paket-Update nicht ausreicht, um die bereits installierte Malware zu entfernen.
Präventionsmaßnahmen und Handlungsempfehlungen
WebScrapingAPI, der Entwickler des Pakets, hat bestätigt, dass der GitHub-Repository nicht betroffen war. Betroffene Systeme sollten umgehend einer gründlichen Sicherheitsüberprüfung unterzogen werden. Entwickler werden dringend aufgefordert, ihre Abhängigkeiten zu überprüfen und auf die letzte sichere Version (2.0.82) zurückzugreifen.
Best Practices für NPM-Sicherheit
Der Vorfall unterstreicht die Bedeutung regelmäßiger Sicherheitsaudits und moderner Authentifizierungsmethoden im NPM-Ökosystem. Entwickler sollten zwingend 2FA für ihre NPM-Accounts aktivieren und automatisierte Dependency-Scans implementieren. Die Verwendung von Tools wie npm audit und Snyk kann dabei helfen, kompromittierte Pakete frühzeitig zu erkennen.
Dieser Sicherheitsvorfall verdeutlicht die wachsende Bedrohung durch Supply-Chain-Angriffe in der Softwareentwicklung. WebScrapingAPI hat umfassende Maßnahmen eingeleitet, um ähnliche Vorfälle künftig zu verhindern, und arbeitet an der Implementierung verbesserter Sicherheitsprotokolle. Entwickler sollten diese Situation zum Anlass nehmen, ihre eigenen Sicherheitspraktiken zu überprüfen und gegebenenfalls zu aktualisieren.
