Cybersicherheitsforscher von Check Point haben 16 Typosquatted-Pakete im NPM-Repository entdeckt, die Kryptowährungs-Miner installieren.
NPM ist eines der beliebtesten JavaScript-Repositories und hostet mehr als zwei Millionen Open-Source-Pakete, mit denen Entwickler die Softwareentwicklung beschleunigen können.
Daher ist es ein attraktives Ziel für Cyberkriminelle, die sich an Angriffen auf die Lieferkette beteiligen. Entwickler, die bösartige Pakete herunterladen, gefährden nicht nur ihre Endpunkte, sondern auch diejenigen, die schließlich ihre Produkte verwenden.
Sich als Geschwindigkeitstestpaket ausgeben
Bei diesem Vorfall hat ein unbekannter Angreifer unter dem Alias „trendava“ am 17. Januar 16 bösartige Pakete hochgeladen, die sich alle als Internet-Geschwindigkeitstester ausgeben. Sie alle haben ähnliche Namen wie ein tatsächlicher Geschwindigkeitstester, aber sie sind so konzipiert, dass sie einen Kryptowährungs-Miner auf dem Zielgerät installieren. Einige der Namen sind speedtestbom, speedtestfast, speedtestgo und speedtestgod.
Ein Kryptowährungsschürfer nutzt die Rechenleistung, den Strom und das Internet des Computers, um Token zu generieren, die später an einer Börse gegen Fiat-Währungen (US-Dollar, Euro usw.) verkauft werden können. Wenn aktiv, verbraucht der Miner fast die gesamte Rechenleistung des Geräts und macht es für andere Zwecke unbrauchbar. Miner sind heutzutage eine recht beliebte Malware, und Bedrohungsakteure versuchen, XMRig auf Servern und anderen leistungsstarken Geräten zu installieren. XMRig schürft Monero (XMR), eine Datenschutzmünze, die fast unmöglich zu verfolgen ist.
NPM entfernte alle bösartigen Pakete einen Tag nach dem Hochladen, am 18. Januar.
Die Forscher kommentierten die Tatsache, dass es 16 ähnliche Pakete gibt, und sagten, es sei möglich, dass die Angreifer mit Trial-and-Error beschäftigt waren:
„Es ist fair anzunehmen, dass diese Unterschiede einen Versuch darstellen, den der Angreifer gemacht hat, ohne im Voraus zu wissen, welche Version von den Suchwerkzeugen der bösartigen Pakete erkannt wird, und versucht daher, ihre böswillige Absicht auf verschiedene Weise zu verbergen“, sagte CheckPoint. „Als Teil dieser Bemühungen haben wir gesehen, dass der Angreifer die schädlichen Dateien auf GitLab hostet. In einigen Fällen interagierten die schädlichen Pakete direkt mit den Krypto-Pools, und in einigen Fällen scheinen sie ausführbare Dateien für diesen Zweck zu nutzen.“
Der beste Schutz vor Typosquatting besteht darin, bei der Bereitstellung von Open-Source-Code vorsichtig zu sein und nur Pakete aus seriösen Quellen zu verwenden.
Über: Piepender Computer (öffnet in neuem Tab)