Einführung in den Hacking-Exploit
Ein großangelegter Hacking-Exploit, der bösartigen JavaScript-Code ins Visier nahm und Anfang dieser Woche für Aufregung sorgte, hat laut Daten von Arkham Intelligence lediglich 1.043 $ in Kryptowährung gestohlen. Cybersicherheitsforscher von Wiz veröffentlichten gestern eine Analyse eines „weit verbreiteten“ Angriffs auf die Software-Lieferkette.
Details des Angriffs
In einem Blogbeitrag berichteten sie, dass böswillige Akteure Social Engineering einsetzten, um die Kontrolle über ein GitHub-Konto von Qix (Josh Junon), einem Entwickler beliebter JavaScript-Code-Pakete, zu erlangen. Die Hacker veröffentlichten Updates für einige dieser Pakete und fügten bösartigen Code hinzu, der APIs und Krypto-Wallet-Schnittstellen aktivierte sowie nach Kryptowährungstransaktionen scannte, um Empfängeradressen und andere Transaktionsdaten zu manipulieren.
Alarmierende Erkenntnisse
Alarmierend ist die Erkenntnis der Forscher von Wiz, dass 10 % der Cloud-Umgebungen eine Instanz des bösartigen Codes enthalten und dass 99 % aller Cloud-Umgebungen einige der von den Hackern angegriffenen Pakete verwenden. Allerdings haben nicht alle diese Cloud-Umgebungen die infizierten Updates heruntergeladen. Trotz des potenziellen Ausmaßes des Exploits deuten die neuesten Daten von Arkham darauf hin, dass die Wallets der Bedrohungsakteure bisher nur eine relativ bescheidene Summe von 1.043 $ erhalten haben. Diese Summe ist in den letzten Tagen nur sehr schrittweise gewachsen und umfasst Überweisungen hauptsächlich von ERC-20-Token, wobei einzelne Transaktionen zwischen 1,29 $ und 436 $ wert sind.
Erweiterung des Exploits
Der gleiche Exploit hat sich auch über die npm-Pakete von Qix hinaus ausgeweitet. Ein Update von JFrog Security enthüllte gestern, dass das DuckDB SQL-Datenbankmanagementsystem kompromittiert wurde. Dieses Update deutete darauf hin, dass der Exploit „scheinbar der größte npm-Kompromiss in der Geschichte“ ist, was das alarmierende Ausmaß und den Umfang des Angriffs unterstreicht.
Häufigkeit solcher Angriffe
„Angreifer haben erkannt, dass die Kompromittierung eines einzelnen Pakets oder einer Abhängigkeit ihnen Zugang zu Tausenden von Umgebungen auf einmal verschaffen kann“, erklärten sie. „Deshalb haben wir einen stetigen Anstieg dieser Vorfälle gesehen, von Typosquatting bis hin zu bösartigen Paketübernahmen.“
In der Tat haben die letzten Monate zahlreiche ähnliche Vorfälle erlebt, darunter die Einfügung bösartiger Pull-Requests in die ETHcode-Erweiterung von Ethereum im Juli, die über 6.000 Downloads erhielt. „Das npm-Ökosystem war insbesondere ein häufiges Ziel aufgrund seiner Beliebtheit und der Art und Weise, wie Entwickler auf transitive Abhängigkeiten angewiesen sind“, so Wiz Research.
Schutzmaßnahmen und Reaktionen
Laut Wiz verstärkt der jüngste Vorfall die Notwendigkeit, die Entwicklungs-Pipeline zu schützen. Organisationen werden aufgefordert, die Sichtbarkeit über die gesamte Software-Lieferkette aufrechtzuerhalten und auch nach anomalen Paketverhalten zu überwachen. Dies scheint das zu sein, was viele Organisationen im Fall des Qix-Exploits taten, der innerhalb von zwei Stunden nach der Veröffentlichung erkannt wurde. Die schnelle Erkennung war einer der Hauptgründe, warum der finanzielle Schaden des Exploits begrenzt blieb.
„Die Nutzlast war eng darauf ausgelegt, Benutzer mit spezifischen Bedingungen anzugreifen, was wahrscheinlich ihre Reichweite reduzierte“, erklärten sie.
Entwickler sind sich auch mehr solcher Bedrohungen bewusst, fügen die Forscher von Wiz hinzu, wobei viele Schutzmaßnahmen implementiert haben, um verdächtige Aktivitäten zu erkennen, bevor sie zu ernsthaften Schäden führen. „Es ist immer möglich, dass wir verzögerte Berichte über Auswirkungen sehen werden, aber basierend auf dem, was wir heute wissen, scheinen die schnelle Erkennung und die Bemühungen zur Beseitigung den Erfolg des Angreifers begrenzt zu haben.“
