- Über 43.000 ruhende Spam-Pakete überschwemmten npm in einer koordinierten zweijährigen Kampagne
- Einige Pakete enthielten wurmartige Skripte, die automatisch neue Einträge generierten und veröffentlichten
- Angreifer haben möglicherweise TEA-Impact-Scores gefälscht, um dezentrale Entwicklerbelohnungen zu erhalten
Ungefähr 1 % des gesamten NPM-Ökosystems besteht mittlerweile aus gefälschten, ruhenden Paketen, die im Rahmen einer jahrelangen gezielten – und potenziell bösartigen – Kampagne hochgeladen wurden, behaupten Experten.
Die Cybersicherheitsforscher Endor Labs entdeckten mehr als 43.000 Spam-Pakete, deren Hochladen fast zwei Jahre in einer koordinierten Aktion dauerte, die mindestens 11 verschiedene Benutzerkonten erforderte.
„Die Pakete wurden systematisch über einen längeren Zeitraum veröffentlicht und überschwemmten das NPM-Register mit Junk-Paketen, die fast zwei Jahre im Ökosystem überlebten“, sagten die Forscher.
TEA-Token-Ernte?
Aufgrund der Namensgebung der Verpackungen nannten die Forscher die Kampagne „IndonesianFoods“. Das zur Benennung verwendete bösartige Skript enthält zwei interne Wörterbücher, eines mit indonesischen Namen und das andere mit indonesischen Lebensmittelbegriffen. Wenn das Skript ausgeführt wird, wählt es zufällig zwei Begriffe aus, fügt eine Zahl hinzu und hängt ein Suffix an.
Das Merkwürdige daran ist, dass die Pakete selbst nicht bösartig sind. Sie sind nicht dazu gedacht, vertrauliche Entwicklerdaten zu stehlen oder als Hintertür zu fungieren. Stattdessen liegen sie einfach da und sammeln Downloads.
Einige Pakete werden wöchentlich tausende Mal heruntergeladen, erklären die Forscher und weisen darauf hin, dass dies dem Angreifer einen potenziellen Vorteil verschafft: „Dies bietet den Angreifern die Möglichkeit, in Zukunft einen böswilligen Commit durchzuführen, der alle diese Downloads beeinträchtigen würde.“
Einige der Pakete enthielten ein wurmartiges Skript, das bei Ausführung zusätzliche Skripte generierte und erstellte, die dann zu npm hinzugefügt wurden.
Neben bösartigem Potenzial gehen die Forscher davon aus, dass dies auch Teil einer finanziell motivierten Kampagne sein könnte. Anscheinend enthielten einige der Pakete tea.yaml-Dateien, in denen TEA-Konten aufgeführt sind. Tea ist ein dezentrales Rahmenprotokoll, bei dem Open-Source-Entwickler für das Beisteuern von Software belohnt werden.
Dies könnte bedeuten, dass die Angreifer versucht haben, ihre Schlagwerte zu fälschen und so mehr TEA-Tokens zu verdienen.
Über Die Hacker-News
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
