Das Sicherheitsunternehmen Sonatype hat eine weitreichende Cyberattacke auf populäre npm-Pakete aufgedeckt. Die Angreifer haben gezielt zehn etablierte Pakete aus dem JavaScript-Ökosystem kompromittiert, die hauptsächlich im Bereich der Kryptowährungsentwicklung zum Einsatz kommen. Einige der betroffenen Pakete sind seit fast einem Jahrzehnt fester Bestandteil der npm-Registry.
Anatomie des Supply-Chain-Angriffs
Im Zentrum der Attacke steht das weitverbreitete Paket country-currency-map, das wöchentlich tausende Downloads verzeichnet. Die Angreifer implementierten zwei verschleierte Skripte (/scripts/launch.js und /scripts/diagnostic-report.js), die bei der Paketinstallation automatisch ausgeführt werden. Diese Skripte sind darauf ausgelegt, sensitive Entwicklerinformationen wie API-Schlüssel, Zugriffstoken, SSH-Keys und Umgebungsvariablen zu extrahieren und an Command-and-Control-Server zu übermitteln.
Credential Stuffing als Einfallstor
Die Analyse von Sonatype deutet auf einen koordinierten Credential-Stuffing-Angriff als primären Angriffsvektor hin. Bei dieser Methode nutzen Cyberkriminelle bereits kompromittierte Zugangsdaten aus früheren Datenlecks, um sich unbefugten Zugriff zu verschaffen. Die zeitgleiche Kompromittierung mehrerer unabhängiger Pakete sowie das Fehlen von Einbruchsspuren in den entsprechenden GitHub-Repositories untermauern diese These.
Sicherheitsmaßnahmen und Reaktionen
Trotz der 2022 eingeführten Pflicht zur Zwei-Faktor-Authentifizierung für hochfrequentierte npm-Pakete bleiben die meisten kompromittierten Pakete weiterhin aktiv. Eine positive Ausnahme bildet country-currency-map: Der Maintainer hat die schadhaften Version 2.1.8 umgehend zurückgezogen und empfiehlt den Wechsel zur sicheren Version 2.1.7.
Dieser Vorfall unterstreicht die essenzielle Bedeutung proaktiver Sicherheitsmaßnahmen im Umgang mit Open-Source-Abhängigkeiten. Entwickler sollten unverzüglich ihre Projekte auf kompromittierte Paketversionen prüfen und bei Verdachtsmomenten sämtliche Zugangsdaten rotieren. Die Implementation robuster Sicherheitspraktiken wie Zwei-Faktor-Authentifizierung, regelmäßige Dependency-Audits und systematische Credential-Rotation ist unerlässlich, um die Widerstandsfähigkeit gegen solche Supply-Chain-Attacken zu erhöhen. Besonders im Kontext der Kryptowährungsentwicklung, wo kompromittierte Zugangsdaten direkten finanziellen Schaden verursachen können, ist höchste Wachsamkeit geboten.
