Das Security Research Team des Supply Chain-Anbieters JFrog hat eine komplexe Bedrohung für die Lieferkette auf npm entdeckt, einem Open-Source-Software-Repository.
Den Forschern zufolge handelt es sich um acht bösartigen Paketen auf npm, einem der weltweit größten Repositorys für Open-Source-JavaScript-Komponenten, das von 17 Millionen Entwicklern genutzt wird.
Die Pakete, darunter react-sxt (Version 2.4.1), react-typex (Version 0.1.0) und react-native-control (Version 2.4.1), wurden von böswilligen npm-Benutzern hochgeladen und enthielten eine hochentwickelte multi-layer Verschleierung mit über 70 Layern versteckten Codes, die es Angreifern ermöglichte, bösartige Payloads auf Entwicklerrechnern ohne Benutzerinteraktion auszuführen.
Die endgültige Payload richtete sich gegen Windows-Chrome-Benutzer. Der Schadcode ermöglihcte laut JFrogs Research Team folgende Aktionen:
- Datendiebstahl: Extrahieren sensibler Chrome-Browser-Daten aus allen Benutzerprofilen, einschließlich Passwörtern, Kreditkarteninformationen, Cookies und Kryptowährungs-Wallets.
- Umgehungstechniken: Verwendung von Schattenkopie-Umgehung, LSASS-Identitätswechsel, mehreren Datenbankzugriffsmethoden und Umgehung der Dateisperre, um eine Erkennung zu vermeiden.
- Datenexfiltration: Hochladen gestohlener Daten auf von Angreifern kontrollierte Server, einschließlich der von Railway gehosteten Infrastruktur.
JFrog hat seine Erkenntnisse an npm gemeldet, und die bösartigen Pakete wurden inzwischen entfernt. JFrog Xray wurde ebenfalls aktualisiert. Entwickler, die diese Pakete heruntergeladen oder verwendet haben, sollten jedoch potenziell kompromittierte Anmeldedaten ändern, ihre Systeme auf verdächtige Aktivitäten überprüfen und sicherstellen, dass sie automatisierte Sicherheitsmaßnahmen für die Software-Lieferkette einsetzen. Die technische Analyse des Angriffs findet sich hier.
