Das Threat Research Team von Socket hat einen Supply-Chain-Wurm entdeckt, der in mindestens 19 bösartigen NPM-Paketen eingesetzt wird.
Der Angriff gleicht laut den Erkenntnissen der Forscher den Shai-Hulud-Angriffen vom vergangenen Jahr und es seien auch Übereinstimmungen im Code der Malware vorhanden. Die bösartigen NPM-Pakete seien unter zwei NPM-Publisher-Aliasen veröffentlicht worden. Die Forscher verfolgen diese Aktivität unter dem Namen SANDWORM_MODE, einem Kampagnennamen, der direkt von den SANDWORM_*-Umgebungsvariablen-Schaltern abgeleitet ist, die in der Laufzeitsteuerungslogik der Malware eingebettet seien.
Der Code folge dabei den Merkmalen, die in früheren Shai-Hulud-Varianten analysiert wurden, darunter der Diebstahl von Anmeldedaten aus Entwickler- und CI-Umgebungen und die automatisierte Verbreitung durch den Missbrauch gestohlener NPM- und GitHub-Identitäten, um sich lateral durch die Software-Lieferkette zu bewegen.
Zusätzlich zur NPM-basierten Verbreitung umfasse die Kampagne eine als Waffe eingesetzte GitHub-Aktion, die CI-Geheimnisse sammelt, diese über HTTPS mit DNS-Fallback exfiltriert und mithilfe von GITHUB_TOKEN programmgesteuert Abhängigkeiten und Workflows in zugängliche Repositorys einfügt.
Eine Liste der Pakete, die nach Erkenntnissen der Forscher betroffen sind, ist hier im Bericht zu finden. Alle dort gelisteten Pakete seien aus der NPM-Datenbank entfernt worden, heißt es weiter. Auch Github und Cloudflare sollen reagiert haben, um eine weitere Verbreitung einzudämmen. Dennoch ist aufgrund der Automatisierung des Angriffs nicht auszuschließen, dass in den nächsten Tagen noch weitere verseuchte Pakete auftauchen. Die Forscher empfehlen Entwicklern, ihre Projekte auf mögliche Abhängigkeiten von einem der verseuchten Pakete zu prüfen.





