Über 1.000 bösartige JavaScript-Pakete in beliebtem Repository gefunden

Das beliebte JavaScript-Paket-Repository NPM gab bekannt, dass es rund 1.300 bösartige Pakete bereinigt hat, die in seinen Archiven gefunden wurden. NPM ist ein Ressourcen-Repository, mit dem Benutzer nach JavaScript-Paketen suchen können, die ihren Anforderungen entsprechen, und ihre Anwendungsabhängigkeiten auf dem neuesten Stand halten.

Malware versteckt sich in JS-Paketen

Untersuchungen des Sicherheitsunternehmens WhiteSource haben gezeigt, dass die Zahl der über NPM verteilten und heruntergeladenen bösartigen Pakete in den letzten Monaten erheblich zugenommen hat. Das Vorhandensein von bösartigem Code in einer Anwendung kann bedeuten, dass die Anwendung als Vehikel für Datendiebstahl oder Bereitstellung von Malware verwendet werden kann.

Die statistische Zerlegung der erkannten Schadpakete zeigt, dass ein kleiner Teil von ihnen, rund 14 Prozent, für Datendiebstahl und Anmeldedatendiebstahl verwendet wurde, während der Großteil der Schadpakete, rund 86 Prozent, für passive Aufklärung und Datensammlung verwendet wurde. Die auf diese Weise erhaltenen Daten könnten verwendet werden, um den Start umfassender späterer Angriffe auf eine potenzielle Zieleinheit zu unterstützen.

Schlechte Akteure, die Supply-Chain-Angriffe ausführen wollen

Der Grund, warum das Vorhandensein von über tausend schädlichen Paketen ein Problem darstellt, ist, dass NPM ein äußerst beliebtes Repository ist. NPM bedient jede Woche 20 Milliarden Paket-Downloads, und diese erstaunliche Anzahl von Paketen wird dann in Webdiensten auf der ganzen Welt installiert.

Zu den von WhiteSource entdeckten schädlichen Paketen gehören:

H98dx, eine Remote-Shell

Azure-web-pubsub-express, ein Datenerfassungsmodul

mos-sass-loader und css-resources-loader, die RCE-Fähigkeiten geben

Obwohl NPM seine Datenbank durchsucht und die bösartigen Pakete entfernt hat, lässt sich nicht sagen, wie lange sie schon verfügbar waren und wie viele Leute sie heruntergeladen und möglicherweise in ihren Anwendungen abgelegt haben. Der Versuch, eine so große und beliebte Plattform wie NPM zu missbrauchen, ermöglicht es Bedrohungsakteuren, Angriffe auf die Lieferkette durchzuführen, die eine mächtige Upstream-Einheit verwenden.