Sicherheitsforscher von Reversing Labs haben eine hochentwickelte Bedrohung im npm-Repository aufgedeckt. Die Experten identifizierten zwei bösartige Pakete, die in der Lage sind, legitime JavaScript-Bibliotheken zu kompromittieren und persistente Backdoors zu implementieren. Besonders besorgniserregend ist die Tatsache, dass der schädliche Code auch nach Entfernung der ursprünglichen Malware-Pakete im System verbleibt.
Anatomie der Zwei-Phasen-Attacke
Die Angreifer nutzen zwei koordinierte Pakete namens ethers-provider2 und ethers-providerz. Das erste Paket basiert auf der weitverbreiteten ssh2-Bibliothek, enthält jedoch ein modifiziertes install.js-Skript. Bei der Installation lädt dieses Skript zusätzliche Malware-Komponenten nach, die sich nach der Ausführung selbst löschen, um Spuren zu verwischen.
Fortgeschrittene Persistence-Techniken
In der zweiten Angriffsphase überprüft die Malware das System auf die Präsenz des legitimen ethers-Pakets. Bei positivem Fund ersetzt sie die originale provider-jsonrpc.js-Datei durch eine manipulierte Version. Diese lädt dann eine dritte Malware-Komponente nach, die einen getarnten SSH-basierten Reverse Shell etabliert.
Parallele Angriffsvektoren
Das zweite identifizierte Paket ethers-providerz verwendet eine ähnliche Angriffsmethodik, zielt jedoch auf die @ethersproject/providers-Bibliothek ab. Beide Varianten etablieren eine Verbindung zum selben Command & Control Server unter 5[.]199[.]166[.]1:31337. Frühere Versionen des Pakets wurden aufgrund von Implementierungsfehlern aus dem Repository entfernt.
Erweiterte Bedrohungslandschaft
Die Sicherheitsforscher haben zusätzlich zwei weitere verdächtige Pakete identifiziert: reproduction-hardhat und @theoretical123/providers, die möglicherweise mit dieser Kampagne in Verbindung stehen. Zur Erkennung der Bedrohung wurde eine spezielle YARA-Regel entwickelt, die Organisationen bei der Identifizierung kompromittierter Systeme unterstützt.
Dieser Vorfall unterstreicht die zunehmende Komplexität moderner Software-Supply-Chain-Angriffe. Entwickler und Organisationen sollten ihre Sicherheitsmaßnahmen verstärken, indem sie automatisierte Dependency-Scans implementieren, regelmäßige Sicherheitsaudits durchführen und verdächtige Aktivitäten in ihrer Entwicklungsumgebung überwachen. Die Integration von Software Composition Analysis (SCA) Tools in den Entwicklungsprozess kann dabei helfen, kompromittierte Komponenten frühzeitig zu erkennen und potenzielle Sicherheitsrisiken zu minimieren.
