Nordkoreanische Hacker verwandeln Softwarebibliotheken in Malware
Ein US-Cybersicherheitsunternehmen berichtet, dass nordkoreanische Hacker eine der weltweit am häufigsten verwendeten Softwarebibliotheken in ein Verteilungssystem für Malware verwandelt haben. In einem Bericht der letzten Woche sagten Forscher von Socket, einem Unternehmen für Versorgungskettensicherheit, dass sie mehr als 300 bösartige Codepakete im npm-Registry gefunden haben, einem zentralen Repository, das von Millionen von Entwicklern genutzt wird, um JavaScript-Software zu teilen und zu installieren.
Diese Pakete – kleine wiederverwendbare Codefragmente, die in Anwendungen von Websites bis hin zu Krypto-Anwendungen verwendet werden – wurden so gestaltet, dass sie harmlos erscheinen. Doch einmal heruntergeladen, installierten sie Malware, die in der Lage war, Passwörter, Browserdaten und Schlüssel von Kryptowährungs-Wallets zu stehlen. Socket erklärte, dass die Kampagne, die sie „Contagious Interview“ nennen, Teil einer ausgeklügelten Operation ist, die von nordkoreanischen staatlich geförderten Hackern durchgeführt wird, die sich als Tech-Rekruter ausgeben, um Entwickler in den Bereichen Blockchain, Web3 und verwandten Industrien ins Visier zu nehmen.
Die Bedeutung der Kompromittierung
Warum es wichtig ist: npm ist im Wesentlichen das Rückgrat des modernen Webs. Eine Kompromittierung ermöglicht es Angreifern, bösartigen Code in unzählige nachgelagerte Apps einzuschleusen. Sicherheitsexperten warnen seit Jahren, dass solche „Software-Versorgungsketten„-Angriffe zu den gefährlichsten im Cyberspace gehören, da sie unsichtbar durch legitime Updates und Abhängigkeiten verbreitet werden.
Die Forscher von Socket verfolgten die Kampagne durch eine Gruppe ähnlicher Paketnamen – falsch geschriebene Versionen beliebter Bibliotheken wie express, dotenv und hardhat – sowie durch Code-Muster, die mit zuvor identifizierten nordkoreanischen Malware-Familien wie BeaverTail und InvisibleFerret verbunden sind.
Techniken der Angreifer
Die Angreifer verwendeten verschlüsselte „Loader„-Skripte, die versteckte Payloads direkt im Speicher entschlüsselten und ausführten, wodurch nur wenige Spuren auf der Festplatte hinterlassen wurden. Das Unternehmen gab an, dass etwa 50.000 Downloads der bösartigen Pakete stattfanden, bevor viele entfernt wurden, obwohl einige weiterhin online sind.
Die Hacker verwendeten auch gefälschte LinkedIn-Rekruter-Konten, eine Taktik, die mit früheren Cyber-Spionagekampagnen der DVRK übereinstimmt, die von der US-Cybersicherheits- und Infrastruktur-Sicherheitsbehörde (CISA) dokumentiert und zuvor in Decrypt berichtet wurden. Die endgültigen Ziele, glauben die Ermittler, waren Maschinen, die Zugangsdaten und digitale Wallets hielten.
Reaktionen und Empfehlungen
Während die Erkenntnisse von Socket mit Berichten anderer Sicherheitsgruppen und Regierungsbehörden übereinstimmen, die Nordkorea mit Kryptowährungsdiebstählen in Milliardenhöhe in Verbindung bringen, bleibt die unabhängige Überprüfung jedes Details – wie die genaue Anzahl der kompromittierten Pakete – ausstehend. Dennoch sind die technischen Beweise und beschriebenen Muster konsistent mit früheren Vorfällen, die Pyongyang zugeschrieben werden.
Der Eigentümer von npm, GitHub, hat erklärt, dass er bösartige Pakete entfernt, sobald sie entdeckt werden, und die Anforderungen an die Kontoverifizierung verbessert hat. Doch das Muster, sagen die Forscher, ist wie ein „Whack-a-Mole„: Man entfernt ein Set bösartiger Pakete, und Hunderte weitere nehmen bald ihren Platz ein.
Für Entwickler und Krypto-Startups unterstreicht dieser Vorfall, wie anfällig die Software-Versorgungskette geworden ist. Sicherheitsexperten fordern Teams auf, jeden „npm install„-Befehl als potenzielle Codeausführung zu behandeln, Abhängigkeiten vor der Integration in Projekte zu scannen und automatisierte Prüfwerkzeuge zu verwenden, um manipulierte Pakete zu erkennen. Die Stärke des Open-Source-Ökosystems – seine Offenheit – bleibt zugleich seine größte Schwäche, wenn Gegner sich entscheiden, es zu missbrauchen.
