Cybersicherheitsexperten haben einen über ein Jahr andauernden Angriff auf die Software-Lieferkette entdeckt, der die npm-Bibliothek @0xengine/xmlrpc betrifft. Die zunächst harmlose JavaScript-Bibliothek verwandelte sich in ein bösartiges Tool, das sensible Daten stiehlt und Kryptowährungs-Miner auf infizierten Systemen einsetzt.

Zeitlicher Ablauf und Auswirkungen

Die Bibliothek wurde am 2. Oktober 2023 als XML-RPC-Server und -Client für Node.js veröffentlicht und bislang 1.790 Mal heruntergeladen. Forscher von Checkmarx fanden heraus, dass am 3. Oktober 2023 die Version 1.3.4 schädlichen Code einführte. Dieser sammelt alle 12 Stunden SSH-Schlüssel, Bash-Historien, Systemmetadaten und Umgebungsvariablen und überträgt sie über Dienste wie Dropbox und file.io.

Verbreitungsmethoden

Der Angriff nutzte mehrere Verbreitungswege:

1. Direkte Installation: Entwickler installierten die Bibliothek unwissentlich über npm.
2. Versteckte Abhängigkeit: Ein GitHub-Repository namens yawpp (Yet Another WordPress Poster) listet die Bibliothek in der Datei "package.json" als Abhängigkeit auf, wodurch sie beim Einrichten des Tools automatisch heruntergeladen wird.

Kryptomining und Persistenz

Nach der Installation führt die Malware folgende Aktionen aus:

• Sie implementiert den Kryptominer XMRig, wobei 68 kompromittierte Systeme mit der Monero-Wallet des Angreifers verbunden sind.
• Sie überwacht laufende Prozesse und beendet miningbezogene Aufgaben, wenn Tools wie top oder iostat entdeckt werden.
• Mining-Operationen werden ausgesetzt, wenn Benutzeraktivitäten erkannt werden.

Eine größere Bedrohung: MUT-8694

Gleichzeitig berichtete Datadog Security Labs über eine Kampagne namens MUT-8694, die Windows-Nutzer ins Visier nimmt. Sie nutzt gefälschte npm- und PyPI-Pakete, um Schadsoftware wie Blank-Grabber und Skuld Stealer zu verbreiten, die für Datendiebstahl entwickelt wurden.

Wichtige Erkenntnisse für Entwickler

• Techniken wie Typosquatting lassen bösartige Pakete legitim erscheinen, wie es bei npm-Paketen der Fall ist, die speziell Roblox-Entwickler ins Visier nahmen.
• Die Beharrlichkeit von Bedrohungsakteuren wie MUT-8694 verdeutlicht die Notwendigkeit ständiger Wachsamkeit in der Software-Lieferkette.
• Regelmäßige Überprüfungen und die sorgfältige Analyse von Abhängigkeiten sind essenziell, um Risiken durch schädliche Updates zu minimieren.

Fazit

Dieser Fall zeigt die wachsenden Risiken im Open-Source-Ökosystem, bei dem selbst gut gepflegte Pakete zu Bedrohungen werden können. Entwickler müssen strenge Prüfprozesse einführen und kontinuierlich wachsam bleiben, um ihre Systeme vor sich entwickelnden Gefahren zu schützen.

.