In der Crate-Registry der Programmiersprache Rust wurde ein Fall von Software-Lieferkettenangriff beobachtet, bei dem Typosquatting-Techniken ausgenutzt wurden, um eine bösartige Bibliothek mit Malware zu veröffentlichen.
Das Cybersecurity-Unternehmen SentinelOne nannte den Angriff „CrateDepression“.
Typosquatting-Angriffe finden statt, wenn ein Angreifer den Namen eines beliebten Pakets in einer öffentlichen Registry nachahmt, in der Hoffnung, dass Entwickler versehentlich das bösartige Paket statt der legitimen Bibliothek herunterladen.
In diesem Fall handelt es sich um die Kiste „rustdecimal“, ein Typosquat des echten Pakets „rust_decimal“, das bisher über 3,5 Millionen Mal heruntergeladen wurde. Das Paket wurde Anfang des Monats, am 3. Mai, von Askar Safin, einem Entwickler aus Moskau, gemeldet.
Laut einer Mitteilung der Rust-Maintainer wurde das Paket erstmals am 25. März 2022 veröffentlicht und weniger als 500 Mal heruntergeladen, bevor es endgültig aus dem Repository entfernt wurde.
Wie frühere Typosquatting-Angriffe dieser Art repliziert die falsch geschriebene Bibliothek die gesamte Funktionalität der Originalbibliothek und fügt zusätzlich eine bösartige Funktion ein, die eine Golang-Binärdatei abrufen soll, die auf einer entfernten URL gehostet wird.
Die neue Funktion prüft insbesondere, ob die Umgebungsvariable „GITLAB_CI“ gesetzt ist, was auf ein „einzigartiges Interesse an GitLab-Pipelines für kontinuierliche Integration (CI)“ hindeutet, so SentinelOne.
Die Nutzlast, die in der Lage ist, Screenshots zu erstellen, Tastatureingaben zu protokollieren und beliebige Dateien herunterzuladen, kann sowohl unter Linux als auch unter macOS ausgeführt werden, jedoch nicht unter Windows-Systemen. Die eigentlichen Ziele der Kampagne sind noch nicht bekannt.
Während Typosquatting-Angriffe bereits gegen NPM (JavaScript), PyPi (Python) und RubyGems (Ruby) dokumentiert wurden, ist diese Entwicklung ein ungewöhnlicher Fall, bei dem ein solcher Vorfall im Rust-Ökosystem entdeckt wurde.
„Angriffe auf die Software-Lieferkette haben sich von einem seltenen Ereignis zu einem höchst wünschenswerten Ansatz für Angreifer entwickelt, um mit Dynamit zu fischen und ganze Nutzergruppen auf einmal zu infizieren“, so die Forscher von SentinelOne.
„Im Fall von CrateDepression deutet das gezielte Interesse an Cloud-Softwareentwicklungsumgebungen darauf hin, dass die Angreifer versuchen könnten, diese Infektionen für groß angelegte Supply-Chain-Angriffe zu nutzen.