Schädlicher Code infiltriert wichtige Pakete im Ja...

Angreifer haben einen Infostealer in 36 npm-Pakete eingeschleust, die mit dem Arweave-Ökosystem verknüpft sind. Es zielte auf Entwickleranmeldeinformationen, SSH-Schlüssel und Exodus-Krypto-Wallet-Dateien ab. Das Sicherheitsunternehmen JFrog führte den Angriff auf ein kompromittiertes Betreuerkonto zurück.

Die Malware heißt IronWorm und wurde mit Rust erstellt. Es wird in dem Moment aktiviert, in dem ein Entwickler ein npm-Paket installiert. Sobald es ausgeführt wird, durchsucht es den infizierten Computer nach 86 Umgebungsvariablen und 20 Anmeldedatendateien, wie das Forschungsteam von JFrog herausgefunden hat. Es geht um AWS-Tokens, Anthropic- und OpenAI-API-Schlüssel, NPM-Authentifizierungsdaten und Krypto-Wallet-Daten.

Arweave-Projektpakete enthalten versteckte Rust-Malware

Angreifer haben ein npm-Konto namens „asteroiddao“ kompromittiert, das zur GitHub-Gruppe asteroid-dao gehört, die Teil des dezentralen Datenbankprojekts Arweave/WeaveDB ist.

Alle mit dem „asteroiddao“-Konto verknüpften Pakete wurden innerhalb kurzer Zeit erneut veröffentlicht, wobei jede neue Version eine 976 KB große Linux-Datei enthielt, die sich in einem tools/-Verzeichnis befand.

Die Datei wurde so eingestellt, dass sie automatisch über einen Preinstall-Hook in package.json ausgeführt wird, was bedeutet, dass sie gestartet wurde, bevor npm überhaupt mit der Installation begann. Ein Opfer musste lediglich npm install ausführen.

Das Team von JFrog zerlegte die Datei und stellte fest, dass sie so verpackt war, dass sie Standard-Auspackwerkzeuge täuschen sollte. Darin befand sich ein großes Rust-Programm, das seine Zeichenfolgen einzeln verschlüsselte und jede einzelne einzeln sperrte, was die Analyse erheblich erschwerte.

Als diese Zeichenfolgen schließlich entschlüsselt wurden, enthüllten sie GitHub-API-Endpunkte, Pfade zu Anmeldeinformationsdateien, gefälschte Bot-Konten, die mit echten GitHub-Benutzer-IDs verknüpft waren, und Vorlagen zum Einschleusen von Schadcode in andere Paketregister.

Ein Screenshot, der infizierte NPM-Pakete im Zusammenhang mit dem Arweave-Ökosystem zeigt. Quelle: Jfrog.

Gestohlene GitHub-Token ermöglichen Malware, Commits zu pushen und mehr Repos zu infizieren

Nach dem Sammeln der Anmeldeinformationen nutzte IronWorm diese, um Commits in Repositorys zu übertragen, auf die das Opfer zugreifen konnte. Durch diese Commits wurde die gleiche bösartige Binärdatei in andere Pakete eingeschleust, die dann auf npm veröffentlicht werden konnten und den nächsten Entwickler in der Kette kompromittieren konnten.

JFrog hat 57 rückdatierte böswillige Commits in neun GitHub-Organisationen gefunden. Die Commits verwendeten den Autorennamen „claude“ mit der E-Mail-Adresse claude@users.noreply.github.com. Die Zeitstempel wurden so gefälscht, dass sie mit dem letzten legitimen Commit jedes Repositorys übereinstimmten. Einer schien 13 Jahre alt zu sein, obwohl GitHub Actions-Protokolle bestätigten, dass alle Vorstöße innerhalb weniger Tage nach der Entdeckung erfolgten.

Zu den betroffenen Organisationen gehörten asteroid-dao, weavedb, ArweaveOasis und mehrere persönliche Konten, die mit dem Entwickler „ocrybit“ in Verbindung stehen.

IronWorm hat außerdem ein eBPF-Kernel-Rootkit bereitgestellt, um sich auf infizierten Computern zu verstecken. Die Kommunikation mit dem Betreiber erfolgt über das Tor-Netzwerk. Der Rust-Compiler beließ den Quellcode des Rootkits in der Binärdatei, ein Betriebsfehler, der die Analyse erleichterte.

Eine Kuriosität besteht darin, dass der Betreiber seine eigene Kryptowährungs-Wallet-Wiederherstellungsphrase fest in die Malware einprogrammiert hat. JFrog kam zu dem Schluss, dass dies eine Schutzmaßnahme war, um zu verhindern, dass der Diebstahler während des Tests die eigenen Anmeldeinformationen des Angreifers herausfiltert.

NPM wird immer wieder von Malware-Angriffen heimgesucht

Das Anwendungssicherheitsunternehmen Ox Security sagte, dass der Angriff früh erkannt wurde, bevor er sich auf weitere Pakete auf npm ausbreiten konnte.

Die bösartigen Versionen wurden innerhalb eines Tages als veraltet markiert und die meisten der rückwirkenden Commits wurden kurz darauf von GitHub entfernt.

Am 14. Mai nutzten Hacker ein inaktives Betreuerkonto für node-ipc aus, ein Paket mit mehr als 822.000 wöchentlichen Downloads. Der Exploit wurde dadurch erreicht, dass die abgelaufene E-Mail-Domäne des Betreuers erneut registriert und das NPM-Passwort zurückgesetzt wurde. Drei kompromittierte Varianten enthielten Nutzdaten zum Diebstahl von Zugangsdaten, die auf über 90 Kategorien von Entwicklergeheimnissen abzielten.

Die Sicherheitsfirmen Endor Labs und StepSecurity identifizierten einen gleichzeitigen, aber unterschiedlichen Angriff mit JavaScript-basierter Malware namens binding.gyp, der im gleichen Zeitraum eine ähnliche Registrierungsvergiftung und GitHub Actions-Infektion durchführte.

Entwickler, die eines der betroffenen WeaveDB-Pakete installiert haben, sollten alle Anmeldeinformationen rotieren, Sperrdateien auf unerwartete Versionsänderungen überprüfen und die Zwei-Faktor-Authentifizierung für npm- und GitHub-Konten aktivieren.