Forscher haben eine neue groß angelegte Kampagne zum Schürfen von Kryptowährungen aufgedeckt, die auf das JavaScript-Paket-Repository NPM abzielt.
Die bösartigen Aktivitäten, die einem Software-Bedrohungsakteur namens CuteBoi zugeschrieben werden, umfassen eine Reihe von 1.283 bösartigen Modulen, die von über 1.000 verschiedenen Benutzerkonten automatisch veröffentlicht wurden.
„Dies geschah mit Hilfe von Automatismen, die es ermöglichen, die NPM 2FA-Herausforderung zu umgehen“, so das israelische Unternehmen Checkmarx, das Sicherheitstests für Anwendungen durchführt. „Diese Ansammlung von Paketen scheint Teil eines Angreifers zu sein, der an dieser Stelle experimentiert.“
Alle veröffentlichten Pakete enthalten nahezu identischen Quellcode eines bereits existierenden Pakets namens eazyminer, das zum Mining von Monero verwendet wird, indem es ungenutzte Ressourcen auf Webservern nutzt.
Eine bemerkenswerte Änderung betrifft die URL, an die die geschürfte Kryptowährung geschickt werden soll, obwohl die Installation der betrügerischen Module keine negativen Auswirkungen hat.
„Der kopierte Code von eazyminer enthält eine Miner-Funktionalität, die aus einem anderen Programm heraus ausgelöst werden soll und nicht als eigenständiges Tool“, sagt der Forscher Aviad Gershon. „Der Angreifer hat diese Funktion des Codes nicht verändert und aus diesem Grund wird er bei der Installation nicht ausgeführt.
Wie im Fall von RED-LILI Anfang des Jahres beobachtet, werden die Pakete über eine Automatisierungstechnik veröffentlicht, die es dem Angreifer ermöglicht, den Schutz der Zwei-Faktor-Authentifizierung (2FA) zu umgehen.
Während bei RED-LILI jedoch ein eigener Server eingerichtet und eine Kombination aus Tools wie Selenium und Interactsh verwendet wurde, um ein NPM-Benutzerkonto zu erstellen und die 2FA zu umgehen, nutzt CuteBoi einen Wegwerf-E-Mail-Dienst namens mail.tm.
Die kostenlose Plattform bietet auch eine REST-API, die es „Programmen ermöglicht, Wegwerfpostfächer zu öffnen und die empfangenen E-Mails mit einem einfachen API-Aufruf zu lesen“, wodurch der Bedrohungsakteur die 2FA-Herausforderung bei der Erstellung eines Benutzerkontos umgehen kann.
Die Entdeckungen fallen mit einem weiteren NPM-bezogenen, weit verbreiteten Angriff auf die Software-Lieferkette namens IconBurst zusammen, bei dem sensible Daten aus Formularen abgefangen werden, die in nachgelagerte mobile Anwendungen und Websites eingebettet sind.