Angreifer haben Schadcode in mehrere beliebte NPM-Pakete eingeschleust. Betroffen sind vor allem die beliebten Pakete des Entwicklers mit dem Pseudonym Qix, der Opfer einer Phishing-Attacke geworden ist.
Publik gemacht hat den Angriff die Sicherheitsplattform Aikido. Unter den rund 20 Paketen sind so beliebte Exemplare wie „backslash“, „chalk“, „debug“ und „color-string“. Zusammen erreichen sie nach Angaben von Aikido über 2 Milliarden Downloads pro Woche. Der Schadcode dürfte folglich in zahlreiche Node.js-Anwendungen eingeflossen sein.
Möglich wurde die Manipulation durch eine erfolgreiche Phishing-Attacke. Getroffen hat sie vor allem den Entwickler Josh Junon alias Qix. Beim Maintainer des Pakets „proto-tinker-wc@0.1.87“ scheint der Angriff ebenfalls erfolgreich verlaufen zu sein – auch dieses Paket enthält den gleichen Schadcode.
Die Phishing-E-Mail forderte die Empfänger dazu auf, ihre Zwei-Faktor-Authentifizierung zu den NPM-Repositories zu erneuern. Als Absender verwendeten die Angreifer einen Domainnamen, der dem offiziellen „npmjs.com“ sehr stark ähnelte. Nur wer genau hinsah, entdeckte die verräterische Top-Level-Domain „.help“. Den Angreifern spielte zudem in die Hände, dass Josh Junon nach eigenen Angaben eine stressige Woche hinter sich hatte und somit leicht unaufmerksam in die Falle tappte. Mit seinen preisgegebenen Anmeldedaten erhielten die Angreifer vollen Zugriff auf die Pakete, die sie wiederum mit ihrem Schadcode spickten und als neue Versionen hochluden.
Der eingeschleuste Schadcode wird auf Client-Systemen im Browser aktiv. Dort klinkt er sich über entsprechende Funktionen wie etwa „fetch“ oder „XMLHttpRequest“ in die Kommunikation ein. Sobald dabei Kryptowährungen wie Ethereum, Bitcoins oder Solana transferiert werden, lenkt der Schadcode die entsprechenden Gelder zu den Angreifern um. Damit die Benutzer vom Diebstahl nichts mitbekommen, manipuliert der Schadcode zudem noch die Informationen auf der angezeigten Website.
