Verborgene Bedrohung im npm-Repository: Gefährliches Paket wartet seit Jahren auf Aktivierung

Sechs Jahre im Schatten: NPM-Paket wartet auf Zerstörungsbefehl

Sicherheitsforscher von Socket haben ein gefährliches Paket im npm-Repository entdeckt, das seit sechs Jahren unentdeckt lauert und auf ein ferngesteuertes Signal wartet, um Projekte zu zerstören. Das Paket mit dem Namen „xlsx-to-json-lh“ tarnt sich als das legitime Paket „xlsx-to-json-lc“. Der Unterschied besteht lediglich in einem einzigen Buchstaben – ein „h“ anstelle eines „c“ – ein Fehler, der selbst erfahrenen Entwicklern beim Installieren von Paketen unterlaufen kann.

Das legitime Paket ist ein nützliches Werkzeug zur Konvertierung von Excel-Tabellen in das JSON-Format. Mit fast 500.000 Downloads seit 2016 ist es jedoch populär genug, um ein attraktives Ziel für Cyberkriminelle zu sein, die eine breite Verbreitung ihrer Malware anstreben.

Ein Wolf im Schafspelz

Besonders bemerkenswert ist die Detailgenauigkeit, mit der die Bedrohung konstruiert wurde. Nicht nur der Name wurde kopiert, sondern auch die Metadaten des ursprünglichen Autors wurden beibehalten, während die eigenen Zugangsdaten des Angreifers eingeschleust wurden. Das Paket funktioniert sogar für den angegebenen Zweck.

Der KI-Scanner von Socket hat das Paket nun als "bekannte Malware" markiert, doch dies geschieht erst nach Jahren potenziellen Schadens. Das Paket blieb während des Untersuchungszeitraums aktiv, obwohl Socket offiziell die Entfernung aus dem npm-Repository beantragt hat.

Es gibt einige Hinweise auf die möglichen Urheber des Angriffs. Die E-Mail-Adresse des Verantwortlichen verwendet eine französische Domain (yahoo.fr), und der im Code eingebettete Auslösebefehl lautet „remise à zéro“ – französisch für „Zurücksetzen auf Null“. Entweder handelt es sich um einen französischsprachigen Angreifer oder um jemanden, der falsche Spuren legt. Andere Pakete desselben Verantwortlichen (unter dem Alias „leonhard“) erscheinen völlig legitim. Dies deutet darauf hin, dass es sich um einen gezielten Angriff und nicht um eine breit angelegte Malware-Kampagne handelt.

Geduldiger Angreifer

Im Gegensatz zu offensichtlichen Infektionen, die sofort Schaden anrichten oder Daten abgreifen, funktioniert dieses Paket zunächst einwandfrei und baut dabei im Hintergrund eine persistente Verbindung zu einem Command-and-Control-Server auf Heroku auf. Die Malware wird aktiviert, sobald ein Entwickler das npm-Paket importiert. Es stellt eine WebSocket-Verbindung zu einem entfernten Server her, wobei die automatische Wiederverbindung aktiviert ist, um den Kontakt mit den Angreifern sicherzustellen. Dann wartet es, möglicherweise jahrelang, auf den spezifischen französischen Befehl, der die Zerstörung auslöst.

Wenn dieser Befehl schließlich eintrifft, sind die Folgen verheerend. Der Code ermittelt das Stammverzeichnis des Projekts und löscht methodisch alles: Quelldateien, Git-Verlauf, Konfigurationen, Abhängigkeiten – alles. Er beseitigt sogar alle Spuren seiner selbst. Ohne externe Backups ist eine Wiederherstellung praktisch unmöglich.

Da Entwickler oft an mehreren Projekten gleichzeitig arbeiten, könnte ein Entwickler dieses npm-Paket unwissentlich in mehreren Codebasen installieren. In einem Unternehmen mit 20 Entwicklern, die jeweils an zwei oder drei Projekten arbeiten, die diese versteckte Bedrohung enthalten, könnte ein einziger Befehl 40-60 separate Codebasen auf einmal auslöschen. Jahrelange Arbeit wäre verloren.

Diese Form des Angriffs, Typosquatting, wird bei Angreifern immer beliebter. Es ist wahrscheinlich, dass Angreifer KI einsetzen werden, um ihre Angriffe zu verstärken und überzeugende Typosquats zu generieren, die häufige Tippfehler oder Tastaturlayouts berücksichtigen.

Schutzmaßnahmen

Um sich zu schützen, ist es wichtig, die zu installierenden Pakete sorgfältig zu überprüfen. Überprüfen Sie die Paketnamen, die Downloadzahlen und die Autorenhistorie. Verwenden Sie Sicherheitstools, die Abhängigkeiten scannen können, bevor sie in Ihr Projekt gelangen.

Bibliographie: https://www.developer-tech.com/news/package-lurking-npm-six-years-waits-destroy-your-work/ https://medium.com/hobimiz-teknoloji/a-ticking-time-bomb-discovered-in-npm-malicious-package-waited-six-years-to-destroy-your-project-97d0b3d52709 https://x.com/Gadget_Ry/status/1928486715049513191 https://www.linkedin.com/posts/projesh-kar-415537258_package-lurking-in-npm-for-six-years-waits-activity-7334409492824018944-pQD5 https://www.developer-tech.com/news/tag/npm/ https://arstechnica.com/civis/threads/destructive-malware-available-in-npm-repo-went-unnoticed-for-2-years.1507506/page-2 https://www.artificialintelligence-news.com/news/tag/censorship/ https://www.facebook.com/DeveloperTech/posts/nvidia-emphasises-that-the-kai-scheduler-is-not-just-a-theoretical-concept-but-a/1165273065610981/ https://medium.com/hobimiz-teknoloji/npm-paket-y%C3%B6neticisinde-ke%C5%9Ffedilen-saatli-bomba-projenizi-yok-etmek-i%CC%87%C3%A7in-6-y%C4%B1l-bekleyen-sinsi-2b79ead04d53 https://uncenter.dev/posts/npm-install-everything/