npm-Paket rand-user-agent kompromittiert
Ein Kompromittierungsfall eines Pakets im npm-Repository hat Sicherheitsbedenken aufgeworfen und zeigt die Risiken von veralteten Komponenten in Softwareentwicklungsprozessen auf. Das Paket rand-user-agent, obwohl als veraltet klassifiziert, wurde noch regelmäßig genutzt, mit etwa 40.000 wöchentlichen Downloads. Cyberforscher des Spezialisten für Supply-Chain-Security, Aikido, entdeckten modifizierte Versionen dieser Bibliothek auf npm, die einen versteckten Remote-Access-Trojaner (RAT) enthielten. Dieser Schadcode, in der Datei dist/index.js versteckt und mehrfach verschleiert, ermöglichte eine Kommunikation mit einem Command-and-Control-Server (C2). Der Trojaner etablierte einen geheimen Kommunikationskanal, um Informationen wie Client-IDs und Betriebssystemdetails an den C2-Server zu senden. Die Funktionalität des RAT umfasst diverse Befehle zur Manipulation des Systems, darunter das Ändern des Arbeitsverzeichnisses, das Hochladen von Dateien sowie die Ausführung beliebiger Shell-Befehle über child_process.exec(). Unter Windows ging der Angriff sogar noch einen Schritt weiter: Es wurde ein neuer Ordner unter dem Namen Python3127 im Umgebungsvariablenpfad angelegt. Dieser Name soll suggerieren, dass es sich um eine offizielle Python-Umgebung handelt und somit Schadcode als legitime Python-Tools erscheinen lassen könnte. Die kompromittierten Pakete mit den Versionsnummern 2.083, 2.084 und 1.0.110 wurden inzwischen von npm entfernt. Entwicklerinnen und Entwickler, die in den letzten Monaten rand-user-agent verwendet haben, sollten ihre Systeme auf Anzeichen des Schadcodes oder Kommunikation mit dem C2-Server überprüfen und gegebenenfalls entsprechende Maßnahmen ergreifen, um Sicherheitslücken zu schließen.
Schlagwörter: npm + Supply-Chain-Security + Aikido
(pz)
