Ein Bedrohungsakteur mit dem Namen „RED-LILI“ wurde mit einer groß angelegten Supply-Chain-Angriffskampagne in Verbindung gebracht, die auf das NPM-Paket-Repository abzielt und fast 800 schädliche Module veröffentlicht.
„Normalerweise verwenden die Angreifer einen anonymen NPM-Account, von dem aus sie ihre Angriffe starten“, so das israelische Sicherheitsunternehmen Checkmarx. „Wie es scheint, hat der Angreifer dieses Mal den Prozess der NPM-Kontoerstellung vollständig automatisiert und für jedes Paket ein eigenes Konto eröffnet, so dass seine neuen bösartigen Pakete schwerer zu erkennen sind.“
Die Ergebnisse bauen auf den jüngsten Berichten von JFrog und Sonatype auf, in denen Hunderte von NPM-Paketen beschrieben wurden, die Techniken wie Abhängigkeitsverwirrung und Typosquatting nutzen, um Azure-, Uber- und Airbnb-Entwickler anzugreifen.
Laut einer detaillierten Analyse des Modus Operandi von RED-LILI traten die ersten Anzeichen anomaler Aktivitäten am 23. Februar 2022 auf, als die Gruppe bösartiger Pakete innerhalb einer Woche in Schüben veröffentlicht wurde.
Der Automatisierungsprozess für das Hochladen der bösartigen Bibliotheken in NPM, den Checkmarx als „Fabrik“ bezeichnet, beinhaltet eine Kombination aus benutzerdefiniertem Python-Code und Web-Testing-Tools wie Selenium, um Benutzeraktionen zu simulieren, die für die Replikation des Benutzererstellungsprozesses in der Registry erforderlich sind.
Um die von NPM eingerichtete Barriere für die Überprüfung des Einmalpassworts (OTP) zu umgehen, nutzt der Angreifer ein Open-Source-Tool namens Interactsh, um das OTP zu extrahieren, das von den NPM-Servern an die bei der Anmeldung angegebene E-Mail-Adresse gesendet wird, so dass die Anfrage zur Kontoerstellung erfolgreich ist.
Mit diesem brandneuen NPM-Benutzerkonto erstellt und veröffentlicht der Angreifer dann automatisch ein bösartiges Paket (nur eines pro Konto), aber erst nachdem er ein Zugangstoken generiert hat, um das Paket zu veröffentlichen, ohne eine OTP-Abfrage per E-Mail zu verlangen.
„Da die Angreifer in der Lieferkette ihre Fähigkeiten verbessern und ihren Verteidigern das Leben schwer machen, ist dieser Angriff ein weiterer Meilenstein auf ihrem Weg“, so die Forscher. „Indem der Angreifer die Pakete auf mehrere Benutzernamen verteilt, macht er es den Verteidigern schwerer, sie zuzuordnen [und] sie alle mit einem Schlag auszuschalten“. Dadurch wird die Wahrscheinlichkeit einer Infektion natürlich höher.