Ein bedeutender JavaScript-Lieferkettenangriff
Ein bedeutender JavaScript-Lieferkettenangriff hat Hunderte von Softwarepaketen kompromittiert, darunter mindestens zehn, die im Krypto-Ökosystem weit verbreitet sind. Dies geht aus einer neuen Forschung der Cybersicherheitsfirma Aikido Security hervor. In einem Beitrag am Montag teilte Charlie Eriksen, ein Forscher bei Aikido Security, die Namen von über 400 Paketen mit, die Anzeichen einer Infektion mit der selbstreplizierenden Malware „Shai Hulud“ zeigen, die in einem laufenden JavaScript NPM-Bibliotheks-Lieferkettenangriff verwendet wird. Eriksen erklärte, dass er jede Erkennung validiert habe, um falsch-positive Ergebnisse zu vermeiden.
Betroffene Pakete und deren Bedeutung
Viele der betroffenen krypto-bezogenen Pakete erhalten wöchentlich Zehntausende von Downloads und sind auf zahlreiche andere Pakete angewiesen, die für ihre Funktion erforderlich sind. In einem früheren Beitrag auf X warnte Eriksen auch das Ethereum Name Service (ENS)-Team, dass mehrere ihrer Pakete betroffen sind.
Über die Malware Shai Hulud
Shai Hulud ist Teil eines breiteren Trends von Lieferkettenangriffen. Anfang September wurde der bisher größte gemeldete NPM-Angriff verzeichnet, bei dem Hacker 50 Millionen Dollar in Krypto stahlen. Amazon Web Services stellte fest, dass dieser erste Angriff nur eine Woche später von dem Shai-Hulud-Wurm gefolgt wurde, der sich autonom verbreitete. Während der vorherige Angriff direkt auf Krypto abzielte, um Vermögenswerte zu stehlen, handelt es sich bei Shai Hulud um eine allgemeine Malware zum Stehlen von Anmeldeinformationen, die sich autonom über die Entwicklerinfrastruktur verbreitet. Wenn die infizierte Umgebung Wallet-Schlüssel enthält, wird die Malware diese als „Geheimnisse“ stehlen, wie jede andere Anmeldeinformation.
Welche Krypto-Pakete sind betroffen?
Unter den betroffenen Paketen sind mindestens zehn speziell mit der Kryptowährungsindustrie verbunden, und fast alle stehen in Verbindung mit dem ENS, einem menschenlesbaren Adressnamenservice. Zu den betroffenen Paketen gehören:
- Der Content-Hash von ENS mit fast 36.000 wöchentlichen Downloads und 91 abhängigen Softwarepaketen.
- Der Address-Encoder mit über 37.500 wöchentlichen Downloads.
- Weitere betroffene ENS-Pakete sind ensjs (über 30.000 wöchentliche Downloads), ens-validation (1.750 wöchentliche Downloads), ethereum-ens (12.650 wöchentliche Downloads) und ens-contracts (fast 3.100 wöchentliche Downloads).
Ein krypto-bezogenes Paket, das nicht mit ENS verbunden ist, namens crypto-addr-codec, wurde ebenfalls kompromittiert und verzeichnet fast 35.000 Downloads.
Beliebte nicht-krypto Pakete betroffen
Betroffene nicht-krypto-bezogene Pakete umfassen einige, die von der Unternehmensautomatisierungsplattform Zapier angeboten werden, darunter eines mit über 40.000 Downloads pro Woche und viele, die nicht weit dahinter liegen. In einem nachfolgenden Beitrag wies Eriksen auf andere infizierte Pakete hin, einige mit fast 70.000 wöchentlichen Downloads, und auf ein weiteres Paket, das über 1,5 Millionen wöchentliche Downloads verzeichnet.
„Der Umfang dieses neuen Shai Hulud-Angriffs ist ehrlich gesagt massiv; wir arbeiten immer noch daran, die Warteschlange abzuarbeiten, um alles zu bestätigen“, schrieb Eriksen auf X. „Es wird den vorherigen Angriff wie nichts erscheinen lassen.“
Forscher der Cybersicherheitsfirma Wiz behaupten, über 25.000 betroffene Repositories bei etwa 350 einzigartigen Benutzern entdeckt zu haben, wobei alle 30 Minuten konstant 1.000 neue Repositories hinzugefügt werden. Das Unternehmen empfiehlt eine „sofortige Untersuchung und Behebung“ für jede Umgebung, die npm verwendet.
