Ernstzunehmende Bedrohung für JavaScript-Entwickler: Malware im npm-Repository entdeckt
Das Security Research Team von JFrog hat eine ernstzunehmende Bedrohung für die Open-Source-Software-Lieferkette im npm-Repository entdeckt, einem zentralen Punkt für JavaScript-Komponenten, den Millionen von Entwicklern weltweit nutzen. Acht bösartige Pakete, darunter Namen wie react-sxt, react-typex und react-native-control, wurden mit hochkomplexer Verschleierungslogik infiltriert. Über 70 versteckte Code-Schichten ermöglichten es Angreifern, schädliche Payloads auf Entwicklercomputern auszuführen, ohne dass der Nutzer selbst interagierte. Die finale Zielsetzung dieser Malware richtete sich explizit an Windows-Benutzer des Chrome-Browsers.
Die dahinterstehende Bedrohung verfolgte verschiedene Angriffszielgruppen und -strategien. Mittels Datendiebstahl sollten sensible Informationen wie Passwörter, Kreditkartendaten, Cookies sowie Kryptowährungs-Wallet-Details aus allen Benutzerprofilen im Chrome-Browser extrahiert werden. Um die Erkennung durch Sicherheitsmaßnahmen zu umgehen, wurden komplexe Techniken eingesetzt: Schattenkopie-Umgehung, Identitätsdiebstahl über LSASS (Local Security Authority Subsystem Service), diverse Datenbankzugriffsmethoden und Überbrückung von Dateisperren. Die gestohlenen Daten sollten anschließend auf Servern unter Kontrolle der Angreifer hochgeladen werden, einschließlich Infrastruktur, die von der Plattform Railway gehostet wird.
JFrog hat umgehend seine Erkenntnisse an npm weitergegeben, wodurch die bösartigen Pakete entfernt wurden. Darüber hinaus wurde das Tool JFrog Xray aktualisiert, um diese spezifische Bedrohung zu adressieren. Entwickler, die diese betroffenen Pakete im Vorfeld heruntergeladen oder integriert hatten, sollten nun ihre Anmeldedaten überprüfen und potenziell ändern sowie ihre Systeme auf verdächtige Aktivitäten scannen. Gleichzeitig wird betont, dass die Implementierung automatisierter Sicherheitsmaßnahmen in der Software-Lieferkette für zukünftige Schutzvorkehrungen unerlässlich ist.
Schlagwörter: JFrog + react-sxt + react-typex
(pz)
