Cybersicherheitsforscher haben zwei bösartige Pakete im npm-Registry entdeckt, die Backdoor-Code enthalten und darauf abzielen, schädliche Befehle von einem entfernten Server auszuführen.

Betroffene Pakete

Die betroffenen Pakete – img-aws-s3-object-multipart-copy und legacyaws-s3-object-multipart-copy – wurden jeweils 190 und 48 Mal heruntergeladen. Diese Pakete wurden inzwischen von der npm-Sicherheitsabteilung entfernt.

Laut einer Analyse des Unternehmens Phylum, das sich auf Sicherheit in der Software-Lieferkette spezialisiert hat, „enthielten sie ausgeklügelte Command-and-Control-Funktionalitäten, die in Bilddateien versteckt waren und während der Paketinstallation ausgeführt wurden.“

Tarnung und Funktionsweise

Die Pakete wurden so gestaltet, dass sie wie eine legitime npm-Bibliothek namens aws-s3-object-multipart-copyaussehen, jedoch eine modifizierte Version der Datei „index.js“ enthalten, die eine JavaScript-Datei namens „loadformat.js“ ausführt.

Diese JavaScript-Datei ist dafür verantwortlich, drei Bilder zu verarbeiten, die die Firmenlogos von Intel, Microsoft und AMD zeigen. Das Bild mit dem Microsoft-Logo wird verwendet, um den bösartigen Inhalt zu extrahieren und auszuführen.

Angriffsmethodik

Der Code registriert den neuen Client bei einem Command-and-Control (C2)-Server, indem er den Hostnamen und Betriebssystemdetails sendet. Anschließend versucht er, alle fünf Sekunden Befehle des Angreifers auszuführen.

Im letzten Schritt werden die Ergebnisse der Befehlsausführung über einen speziellen Endpunkt zurück an den Angreifer exfiltriert.

Phylums Warnung

Phylum betont: „In den letzten Jahren haben wir einen dramatischen Anstieg in der Raffinesse und Anzahl bösartiger Pakete gesehen, die in Open-Source-Ökosystemen veröffentlicht werden.“

„Täuschen Sie sich nicht, diese Angriffe sind erfolgreich. Es ist absolut entscheidend, dass Entwickler und Sicherheitsorganisationen sich dieser Tatsache bewusst sind und eine hohe Wachsamkeit gegenüber den Open-Source-Bibliotheken, die sie nutzen, an den Tag legen.“

Die Entdeckung dieser bösartigen npm-Pakete zeigt erneut, wie wichtig es ist, Sicherheitsmaßnahmen zu ergreifen und aufmerksam zu bleiben, wenn es um die Nutzung von Open-Source-Bibliotheken geht. Entwickler sollten stets sicherstellen, dass sie nur vertrauenswürdige und geprüfte Pakete verwenden, um die Sicherheit ihrer Projekte zu gewährleisten.