Cybersecurity-Forscher haben eine Reihe bösartiger Pakete in der NPM-Registry entdeckt, die speziell auf eine Reihe prominenter Unternehmen mit Sitz in Deutschland abzielen, um Angriffe auf die Lieferkette durchzuführen.
„Verglichen mit der meisten Malware, die im NPM-Repository gefunden wurde, scheint diese Nutzlast besonders gefährlich zu sein: eine hochentwickelte, verschleierte Malware, die als Hintertür fungiert und es dem Angreifer ermöglicht, die vollständige Kontrolle über den infizierten Rechner zu übernehmen“, so die Forscher von JFrog in einem neuen Bericht.
Laut dem DevOps-Unternehmen deuten die Beweise darauf hin, dass es sich entweder um die Arbeit eines hochentwickelten Bedrohungsakteurs oder um einen „sehr aggressiven“ Penetrationstest handelt.
Alle betrügerischen Pakete, von denen die meisten inzwischen aus dem Repository entfernt wurden, wurden zu vier „Maintainern“ zurückverfolgt – bertelsmannnpm, boschnodemodules, stihlnodemodules und dbschenkernpm – was darauf hindeutet, dass versucht wurde, sich als legitime Firmen wie Bertelsmann, Bosch, Stihl und DB Schenker auszugeben.
Einige der Paketnamen sollen sehr spezifisch sein, was darauf hindeutet, dass es dem Angreifer gelungen ist, die Bibliotheken in den internen Repositories der Unternehmen zu identifizieren, um einen Verwirrungsangriff auf die Abhängigkeiten zu starten.
Die Ergebnisse bauen auf einem Bericht von Snyk vom letzten Monat auf, in dem eines der angreifenden Pakete, „gxm-reference-web-auth-server“, detailliert beschrieben wurde und darauf hingewiesen wurde, dass die Malware auf ein unbekanntes Unternehmen abzielt, das dasselbe Paket in seiner privaten Registry hat.
„Der oder die Angreifer hatten wahrscheinlich Informationen über die Existenz eines solchen Pakets in der privaten Registry des Unternehmens“, so das Sicherheitsforschungsteam von Snyk.
JFrog bezeichnete das Implantat als „Eigenentwicklung“ und wies darauf hin, dass die Malware zwei Komponenten enthält: einen Dropper, der Informationen über den infizierten Computer an einen entfernten Telemetrieserver sendet, bevor er entschlüsselt und eine JavaScript-Backdoor ausgeführt wird.
Die Backdoor verfügt zwar nicht über einen Persistenzmechanismus, ist aber dafür ausgelegt, Befehle von einem fest programmierten Command-and-Control-Server zu empfangen und auszuführen, beliebigen JavaScript-Code auszuwerten und Dateien auf den Server hochzuladen.
„Der Angriff ist sehr gezielt und beruht auf schwer zu beschaffenden Insiderinformationen“, so die Forscher. Andererseits „versuchten die in der NPM-Registrierung erstellten Benutzernamen nicht, das Zielunternehmen zu verbergen“.