Sicherheitsforscher haben eine neue Angriffswelle auf die npm-Plattform aufgedeckt, bei der gleich mehrere populäre Pakete manipuliert wurden. Besonders betroffen ist das JavaScript-Modul "@ctrl/tinycolor", das in vielen Projekten zur Farbberechnung eingesetzt wird. Der Angriff wurde von einem Community-Mitglied entdeckt und öffentlich gemacht. Die kompromittierten Versionen wurden mittlerweile von npm entfernt, doch bleibt das Risiko bestehen, dass Entwickler die Schadsoftware bereits unbemerkt eingebunden haben.

Angriff über JavaScript-Bundle

Im Kern des Angriffs steckt ein rund 3,6 MByte großes, stark verschleiertes JavaScript-Bundle, das während der Installation über ein manipuliertes postinstall-Skript ausgeführt wird. Dieses Schadmodul arbeitet modular und übernimmt Aufgaben wie Systemaufklärung, das Sammeln von Zugangsdaten und die Weiterverbreitung der Malware. Besonders brisant: Die Schadsoftware verbreitet sich selbst, indem sie weitere Pakete desselben Entwicklers automatisch infiziert und veröffentlicht. So entsteht eine Kettenreaktion, die das gesamte Ökosystem gefährden kann.

Die Angreifer setzen bei der Datensammlung sowohl auf selbst entwickelte Routinen als auch auf bekannte Tools wie TruffleHog, das Festplatten nach geheimen Schlüsseln durchsucht. Ziel sind vor allem Zugangsdaten zu Clouddiensten wie AWS, Google Cloud und Azure, aber auch npm- und GitHub-Token. Um langfristig Zugriff zu behalten, installiert die Malware zudem ein GitHub-Workflow-File, das bei jedem Push-Vorgang geheime Informationen an einen externen Server sendet.

Pakete entfernen und Repositories prüfen

Für die Entwicklergemeinde bedeutet der Angriff, dass betroffene Pakete umgehend entfernt, Repositories auf manipulierte Workflows überprüft und sämtliche Zugangsdaten ausgetauscht werden müssen. Besonders heikel ist die enge Verzahnung mit Clouddiensten: Wer die Schadsoftware installiert hat, muss mit einem potenziellen Abfluss sensibler Unternehmensdaten rechnen.

Sicherheitsexperten raten zu sofortigen Gegenmaßnahmen: Dazu gehören die Suche nach der bekannten Schaddatei anhand des veröffentlichten Hash-Wertes, das Entfernen der "shai-hulud"-Workflows in GitHub-Repositories und das Überwachen von Cloud-Audit-Logs auf unautorisierte Zugriffe. Zudem empfehlen sie, alle verwendeten Tokens und Schlüssel zu rotieren und die eigenen Entwicklungsumgebungen künftig stärker gegen Manipulationen abzusichern.

Erst Anfang September fand der wohl größte Lieferketten-Angriff über die npm-Plattform statt.