Sicherheitsforscher von Socket haben eine ausgeklügelte Malware-Kampagne aufgedeckt, die über infizierte npm-Pakete sensible Infrastrukturdaten von Unternehmensnetzwerken sammelt. Innerhalb von zwei Wochen wurden 60 kompromittierte Pakete identifiziert, die automatisiert kritische Systeminformationen extrahieren und an die Angreifer übermitteln.
Technische Analyse der Malware-Funktionsweise
Die kompromittierten Pakete enthalten bösartige Installationsskripte, die beim Setup automatisch ausgeführt werden. Diese Scripts sammeln systematisch sensible Systeminformationen wie Hostnamen, IP-Adressen, DNS-Server-Konfigurationen und Verzeichnisstrukturen. Die gesammelten Daten werden anschließend über Discord-Webhooks an die Angreifer übertragen, wodurch die Rückverfolgung erheblich erschwert wird.
Umfang und Sophistikation des Angriffs
Die Untersuchungen führten zur Identifikation von drei npm-Accounts (bbbb335656, cdsfdfafd1232436437 und sdsds656565), die jeweils 20 infizierte Pakete veröffentlichten. Die Malware zeichnet sich durch ihre plattformübergreifende Kompatibilität aus und funktioniert auf Windows, Linux und macOS. Besonders bemerkenswert sind die implementierten Sandbox-Evasion-Techniken, die eine Erkennung durch Sicherheitssysteme erschweren.
Risikobewertung und Bedrohungspotenzial
Mit über 3.000 Downloads der infizierten Pakete ist das Schadenspotenzial erheblich. Die gesammelten Informationen ermöglichen die Korrelation interner Netzwerkidentifikatoren mit öffentlicher Infrastruktur, wodurch Angreifer detaillierte Einblicke in Unternehmensnetzwerke gewinnen können. Diese Erkenntnisse könnten für gezielte Folgeattacken missbraucht werden.
Supply-Chain-Sicherheitsimplikationen
Die Kampagne verdeutlicht die wachsende Bedrohung durch Supply-Chain-Angriffe im npm-Ökosystem. Durch die gewonnenen Informationen können Angreifer wertvolle Ziele identifizieren und Schwachstellen in Unternehmensnetzwerken aufspüren, was das Risiko erfolgreicher zielgerichteter Angriffe signifikant erhöht.
Als Reaktion auf diese Bedrohung hat Socket die Entfernung der kompromittierten Pakete aus dem npm-Repository beantragt. Organisationen wird dringend empfohlen, ihre npm-Abhängigkeiten einer gründlichen Sicherheitsüberprüfung zu unterziehen und robuste Validierungsprozesse für Third-Party-Pakete zu implementieren. Die Einführung automatisierter Sicherheitsscans und die strikte Überwachung der Paketabhängigkeiten sind essenzielle Maßnahmen zur Prävention ähnlicher Sicherheitsvorfälle.