Bösartige Open-Source-Pakete für Windows Chrome-Benutzerdaten enttarnt.
JFrog gibt die Entdeckung von acht bösartigen Paketen bekannt, die auf npm, einem der weltweit größten Repositorys für Open-Source-JavaScript-Komponenten, veröffentlicht wurden.
Die Pakete, darunter react-sxt (Version 2.4.1), react-typex (Version 0.1.0) und react-native-control (Version 2.4.1), wurden von böswilligen npm-Benutzern hochgeladen. Sie enthielten eine hochentwickelte multi-layer Verschleierung mit über 70 Layers versteckten Codes, die es Angreifern ermöglichte, bösartige Payloads auf Entwicklerrechnern ohne Benutzerinteraktion auszuführen.
Die endgültige Payload richtete sich gegen Windows-Chrome-Benutzer und war in der Lage folgende Aktionen auszuführen:
- Datendiebstahl: Extrahieren sensibler Chrome-Browser-Daten aus allen Benutzerprofilen, einschließlich Passwörtern, Kreditkarteninformationen, Cookies und Kryptowährungs-Wallets.
- Umgehungstechniken: Verwendung von Schattenkopie-Umgehung, LSASS-Identitätswechsel, mehreren Datenbankzugriffsmethoden und Umgehung der Dateisperre, um eine Erkennung zu vermeiden.
- Datenexfiltration: Hochladen gestohlener Daten auf von Angreifern kontrollierte Server, einschließlich der von Railway gehosteten Infrastruktur.
„Open-Source-Software-Repositorys sind zu einem der wichtigsten Einstiegspunkte für Angreifer im Rahmen von Supply-Chain-Angriffen geworden, wobei zunehmend Typosquatting und Masquerading eingesetzt werden, um sich als legitim auszugeben“, sagt Guy Korolevski, Sicherheitsforscher bei JFrog. Das Bedrohungspotenzial solcher ausgeklügelter Kampagnen, die darauf abzielen, herkömmliche Sicherheitsmaßnahmen zu umgehen und sensible Daten zu stehlen, unterstreicht, wie wichtig es ist, über die gesamte Software-Lieferkette hinweg Transparenz zu schaffen, mit automatisierten Scans und einer einzigen zuverlässigen Quelle für alle Softwarekomponenten.“
JFrog hat seine Erkenntnisse an npm gemeldet, und die bösartigen Pakete wurden inzwischen entfernt. JFrog Xray wurde ebenfalls aktualisiert. Entwickler, die diese Pakete heruntergeladen oder verwendet haben, sollten jedoch potenziell kompromittierte Anmeldedaten ändern, ihre Systeme auf verdächtige Aktivitäten überprüfen und sicherstellen, dass sie automatisierte Sicherheitsmaßnahmen für die Software-Lieferkette einsetzen.
Die vollständige technische Analyse des Angriffs finden Sie online.