Cybersecurity-Experten von Socket haben eine umfangreiche Angriffswelle nordkoreanischer Hacker-Gruppen auf das npm-Ökosystem aufgedeckt. Die Angreifer platzierten 67 bösartige Pakete, die insgesamt über 17.000 Downloads verzeichneten. Als primäres Angriffswerkzeug setzen sie einen neuartigen Malware-Loader namens XORIndex ein, der gezielt Entwicklersysteme kompromittiert.
Contagious Interview: Langfristige Bedrohung für Softwareentwickler
Die entdeckten Aktivitäten sind Teil der kontinuierlichen Angriffskampagne Contagious Interview, die seit Dezember 2022 aktiv ist. Diese sophistizierte Social-Engineering-Operation nutzt eine perfide Methodik: Cyberkriminelle geben sich als Personalvermittler aus und locken Entwickler mit gefälschten Stellenausschreibungen.
Der Angriffsmechanismus funktioniert über fingierte Bewerbungsgespräche, bei denen Opfer Programmieraufgaben erhalten, die die Installation schädlicher Pakete erfordern. Diese aktuelle Angriffswelle stellt eine Fortsetzung der seit April 2024 beobachteten Aktivitäten dar, nachdem dieselben Angreifer bereits 35 malware-verseuchte Pakete in npm eingeschleust hatten.
XORIndex: Technische Analyse des neuen Malware-Loaders
Die bösartigen Pakete imitieren bewusst Namen legitimer Projekte und Bibliotheken, was ihre Erkennung erheblich erschwert. Nach der Installation aktiviert ein automatisch ausgeführter postinstall-Skript den XORIndex-Loader, der parallel zum bereits bekannten HexEval Loader eingesetzt wird.
Systemaufklärung und Profilierung
XORIndex sammelt systematisch detaillierte Informationen über das Zielsystem, einschließlich Hardware-Spezifikationen, Betriebssystem-Details, installierter Software und weiterer Parameter. Diese Daten ermöglichen es den Angreifern, maßgeschneiderte Folgeattacken zu entwickeln und die Erfolgswahrscheinlichkeit zu maximieren.
Command-and-Control-Kommunikation
Die gesammelten Informationen werden an einen fest codierten Kommando-Server übertragen, der in der Infrastruktur von Vercel gehostet wird. Diese Taktik nutzt einen legitimen Cloud-Anbieter als Tarnung, um Sicherheitssysteme zu umgehen und Erkennungsmaßnahmen zu erschweren.
Payload-Deployment und Angriffsziele
Basierend auf den übermittelten Systeminformationen liefert der Server eine oder mehrere JavaScript-Payloads, die mittels eval()-Funktion ausgeführt werden. Typischerweise handelt es sich um die Backdoors BeaverTail und InvisibleFerret, die seit langem mit nordkoreanischen Cyber-Operationen in Verbindung stehen.
Die implementierte Malware verschafft den Angreifern umfassende Kontrolle über kompromittierte Systeme und ermöglicht ferngesteuerten Zugriff, Datenexfiltration, Deployment zusätzlicher Schadsoftware sowie den Diebstahl von Kryptowährungen. Besonders besorgniserregend ist das Potenzial für laterale Bewegungen innerhalb von Unternehmensnetzen.
Adaptive Angriffstaktiken und Evasion-Strategien
Die Analyse zeigt, dass nordkoreanische Hacker-Gruppen eine bemerkenswerte Anpassungsfähigkeit demonstrieren. Sie kombinieren bewährte Techniken mit innovativen Modifikationen und reagieren schnell auf Abwehrmaßnahmen. Sobald npm bösartige Pakete entfernt, kehren die Angreifer mit neuen Accounts und Paketnamen zurück.
Diese Persistenz unterstreicht die Notwendigkeit kontinuierlicher Wachsamkeit. Sicherheitsexperten warnen, dass „Verteidiger mit neuen Iterationen dieser Loader in frischen Paketen rechnen müssen, oft mit subtilen Änderungen zur Umgehung von Erkennungssystemen“.
Dieser Vorfall verdeutlicht die kritische Bedeutung proaktiver Sicherheitsmaßnahmen im npm-Ökosystem. Entwickler sollten Dependency-Scanning-Tools implementieren, regelmäßige Sicherheitsupdates durchführen und besondere Vorsicht bei unerwarteten Jobangeboten walten lassen. Ein mehrschichtiger Sicherheitsansatz bleibt essentiell für den Schutz vor derartigen ausgeklügelten Bedrohungen.
