Eine kritische Supply-Chain-Attacke hat die JavaScript-Community erschüttert: Sicherheitsforscher von Sonatype und Socket haben entdeckt, dass Angreifer erfolgreich Crypto-Mining-Malware in die populären npm-Pakete @rspack/core, @rspack/cli und Vant eingeschleust haben. Der Angriff erfolgte durch kompromittierte npm-Zugangsdaten und betrifft Hunderttausende von Entwicklern weltweit.
Massive Reichweite der kompromittierten Pakete
Die Dimension des Angriffs ist besorgniserregend: Die betroffenen Bibliotheken verzeichnen zusammen über 585.000 wöchentliche Downloads. Der JavaScript-Bundler Rspack (@rspack/core: 394.000, @rspack/cli: 145.000 Downloads) und die Vue.js UI-Bibliothek Vant (46.000 Downloads) sind essenzielle Werkzeuge in modernen Webentwicklungs-Workflows.
Technische Analyse der Malware-Infektion
Die Angreifer implementierten ihre Malware in Version 1.1.7 von Rspack sowie in mehreren Versionen von Vant (2.13.3-5, 3.6.13-15, 4.9.11-14). Der schädliche Code wurde geschickt in den Dateien support.js und config.js versteckt. Nach der Infektion sammelt die Malware Standort- und Netzwerkinformationen und installiert den XMRig-Miner für die Kryptowährung Monero, der sich bei Vant als „vant_helper“-Prozess tarnt.
Empfohlene Sicherheitsmaßnahmen
Entwickler sollten umgehend ihre Pakete aktualisieren: Für Rspack wird ein Update auf mindestens Version 1.1.8 empfohlen, Vant-Nutzer sollten auf Version 4.9.15 oder höher wechseln. Die Maintainer haben in den bereinigten Versionen zusätzliche Sicherheitsmechanismen implementiert, um künftige Kompromittierungen zu erschweren.
Dieser Vorfall unterstreicht die wachsende Bedrohung durch Supply-Chain-Angriffe im npm-Ökosystem. Organisationen sollten ihre Abhängigkeitsverwaltung verstärken durch: regelmäßige Sicherheitsaudits, automatisierte Dependency-Scans, strikte Versionskontrolle und den Einsatz von Software Composition Analysis (SCA) Tools. Die Implementierung des Prinzips der geringsten Privilegien bei npm-Zugriffsrechten sowie die Verwendung von Two-Factor-Authentication für npm-Konten sind weitere essenzielle Schutzmaßnahmen.
