Neuer NPM-Großangriff: Selbst-vermehrende Malware infiziert Dutzende Pakete

Verschiedene IT-Sicherheitsunternehmen warnen vor neuen Angriffen auf das npm-Ökosystem rund um node.js. Mehrere Dutzend Pakete (mindestens 40, in einem Bericht gar an die 150) sind mit einer Malware infiziert, die geheime Daten stiehlt und über einen Webhook ausleitet. Zudem repliziert sich die Schadsoftware selbsttätig – und ist somit ein Wurm.

npm, der Node Package Manager, kommt nicht zur Ruhe. Nachdem erst kürzlich unbekannte Angreifer die Zugangsdaten eines prominenten Entwicklers abgephisht und manipulierte Pakete eingeschleust hatten, hat die Verteilstation für node.js-Bibliotheken nun mit einem ausgewachsenen Wurm zu kämpfen.

Wie StepSecurity und Socket übereinstimmend berichten, befindet sich unter den kompromittierten Paketen auch @ctrl/tinycolor, das etwa zwei Millionen Mal pro Woche heruntergeladen wird. Auch etwa ein Dutzend weitere Pakete des Entwicklers @ctrl sind betroffen, einige der Nativescript-Community und wie Aikido auflistet, sogar solche des Security-Unternehmens Crowdstrike.

Der Schadcode nutzt „TruffleHog“, um interessante Daten zu erschnüffeln, etwa API-Credentials und Zugangsdaten für GitHub sowie die Clouds von Google und Amazon. Er erstellt dann GitHub-Repositories und -Workflows und exfiltriert seine Beute über einen Webhook auf der Domain webhook.site. Und er hat offenbar die Fähigkeit, sich selbst zu replizieren, indem er weitere Pakete infiziert und trojanisierte Paketversionen hochlädt.

Unklar ist noch, wo der Angriff begann – einen klaren „Patient Null“ nennen die drei analysierenden Unternehmen nicht. Auch sind die Urheber der Attacke nicht bekannt, möglicherweise sind es dieselben wie beim letzten Angriff.

Gottgleicher npm-Wurm?

Kurios: Die Angreifer sind offenbar Science-Fiction-Fans. Die Wurmkomponente ihrer Malware legt ein GitHub-Repository namens „Shai-Hulud“ sowie entsprechende Workflows an. „Shai-Hulud“, ursprünglich Arabisch für „Ding der Unsterblichkeit“, ist der Name der monumentalen Sandwürmer in Frank Herberts Epos „Dune“. Die Einwohner des Wüstenplaneten verehren die Sandwürmer als gottgleich.

JavaScript-Entwickler und insbesondere die Verwalter von auf npm gehosteten Paketen sollten größte Vorsicht walten lassen und die umfangreiche Liste infizierter Pakete konsultieren. Wer in eigenen Projekten infizierte Versionen vorfindet, sollte diese unmittelbar löschen, alle Zugangskennungen ändern, Tokens invalidieren und in eigenen GitHub-Repositories aufräumen. In StepSecuritys Blogeintrag finden sich detaillierte Handreichungen.

(cku)