Eine hochentwickelte Malware-Kampagne wurde durch Sicherheitsforscher von Checkmarx, Phylum und Socket aufgedeckt, die das npm-Repository als Angriffsvektor nutzt. Die Angreifer setzen dabei eine innovative Kombination aus Typosquatting und Ethereum Smart Contracts ein, um ihre schädliche Infrastruktur zu verschleiern und Malware zu verbreiten.
Umfang und Methodik des Angriffs
Seit dem 31. Oktober 2024 wurden mehr als 287 bösartige npm-Pakete identifiziert. Die Angreifer nutzen Typosquatting-Techniken, indem sie Paketnamen wählen, die bekannten Krypto-Bibliotheken, Puppeteer und Bignum.js täuschend ähnlich sind. Diese Strategie zielt darauf ab, unaufmerksame Entwickler zur Installation der manipulierten Pakete zu verleiten.
Technische Analyse der Malware
Die kompromittierten Pakete enthalten verschleiertem JavaScript-Code, der bei der Installation ausgeführt wird. Dieser Code lädt eine schädliche Binärdatei herunter, die systematisch sensible Systeminformationen sammelt, darunter GPU- und CPU-Spezifikationen, Arbeitsspeicher, Benutzernamen und Betriebssystemversion.
Innovative Blockchain-Integration
Besonders bemerkenswert ist die Verwendung von Ethereum Smart Contracts zur dynamischen Verwaltung der Command-and-Control (C2) Server. Die Malware nutzt die ethers.js-Bibliothek, um mit der Blockchain zu kommunizieren und aktuelle C2-Server-Adressen abzurufen. Diese Methode erschwert die Erkennung und Blockierung der schädlichen Infrastruktur erheblich.
Attribution und historischer Kontext
Forensische Analysen des Socket Threat Research Teams haben russischsprachige Fehlermeldungen im Code identifiziert, was auf russischsprachige Akteure hinweisen könnte. Die Verwendung von Smart Contracts zur Verschleierung von Malware wurde bereits 2023 in der EtherHiding-Kampagne beobachtet, die Binance Smart Chain nutzte.
Diese Entwicklung unterstreicht den zunehmenden Trend der Integration von Blockchain-Technologien in moderne Malware-Kampagnen. Entwickler sollten verstärkte Sicherheitsmaßnahmen implementieren, insbesondere bei der Verwaltung von npm-Abhängigkeiten. Empfohlen werden automatisierte Sicherheitsüberprüfungen, die Verifizierung von Paketquellen und der Einsatz von Software Composition Analysis (SCA) Tools. Die Cybersecurity-Community muss sich auf weitere Innovationen in diesem Bereich einstellen und entsprechende Gegenmaßnahmen entwickeln.
