Das Cybersecurity-Unternehmen SlowMist warnt vor einem schweren Supply-Chain-Angriff innerhalb des Node.js-Ökosystems. Bösartige Versionen der beliebten npm-Library node-ipc stehlen offenbar sensible Daten über versteckten Malware-Code. Laut SlowMist handelt es sich um die Versionen 9.1.6, 9.2.3 und 12.0.1 des Pakets.
Der Angriff richtet sich vor allem gegen Entwickler, Cloud-Umgebungen und Server, die von Node.js-Anwendungen abhängig sind. Die infizierte Library verfügt über Funktionen zum Sammeln von AWS-Credentials, SSH-Schlüsseln, API-Keys und anderen sensiblen Systeminformationen.
Malware in beliebter Node.js-Library versteckt
Aus der technischen Analyse von SlowMist geht hervor, dass die Angreifer bösartigen Code zur CommonJS-Entry-File von node-ipc hinzugefügt haben. Die Library verzeichnet mehr als 530.000 wöchentliche Downloads und wird von Hunderten Open-Source-Projekten genutzt.
Laut der Untersuchung wurden etwa 80 KB stark verschlüsselter Malware-Code zur Datei node-ipc.cjs hinzugefügt. Sobald Anwendungen die Library über require(„node-ipc“) laden, aktiviert sich der schädliche Code automatisch im Hintergrund.
Der Angriff verwendet keinen gefälschten Paketnamen, sondern missbraucht die offizielle Release-Pipeline des echten node-ipc-Projekts. Dadurch konnten infizierte Versionen unbemerkt über npm an Entwickler und Produktionsumgebungen verteilt werden.
SlowMist berichtet, dass die verdächtigen Releases nach einer langen Phase ohne Updates erschienen. Neue Versionen wurden von einem anderen Maintainer-Account veröffentlicht, was laut Forschern typisch für klassische Supply-Chain-Angriffe innerhalb von npm ist. Solche Angriffe verstärken auch die Sorgen rund um Krypto-Sicherheit und digitalen Betrug.
Gestohlene Daten werden über DNS-Tunnel übertragen
Die Malware sammelt unter anderem AWS-Cloud-Credentials, SSH-Private-Keys, Umgebungsvariablen, Hostinformationen und Dateien wie /etc/hosts. Anschließend werden die Daten komprimiert und in kleine Fragmente aufgeteilt.
Auffällig ist, dass die Exfiltration nicht über normale HTTP-Verbindungen erfolgt. Stattdessen nutzt die Malware DNS-Tunneling, um Daten unbemerkt an Server der Angreifer zu senden.
Laut SlowMist verwendet die Malware angepasste DNS-Resolver, um TXT-, A- und AAAA-Queries direkt an bösartige Infrastruktur zu senden. Dadurch wird die Erkennung für traditionelle Sicherheitssysteme erschwert.
Weitere technische Details zum Angriff wurden von SlowMist veröffentlicht.
Forscher empfehlen sofortiges Handeln
SlowMist rät Entwicklern und Unternehmen dringend dazu, sofort zu überprüfen, ob die node-ipc-Versionen 9.1.6, 9.2.3 oder 12.0.1 in ihren Dependency-Trees vorhanden sind. Werden diese Versionen gefunden, sollten sie umgehend durch sichere Alternativen ersetzt werden.
Darüber hinaus empfehlen die Forscher, Logs auf verdächtige DNS-Requests in Richtung Infrastruktur wie sh.azurestaticprovider.net sowie auf IP-Adressen zu überprüfen, die mit dem Angriff in Verbindung stehen.
Der Angriff zeigt erneut, wie verwundbar Open-Source-Ökosysteme sein können, wenn beliebte Libraries kompromittiert werden. Besonders Software-Supply-Chain-Angriffe stellen in den letzten Jahren ein immer größeres Risiko für Entwickler, Kryptoprojekte und Cloud-Plattformen dar. Dies geschieht, während Forscher auch vor wachsenden Problemen rund um Krypto-Geldwäsche warnen.
20% Cashback mit der Bybit Card, bis zu 40 $ Bonus und 10% Rabatt auf Gebühren
Bybit EU hat seine Bybit Card in Europa eingeführt, mit der Sie in mehr als 90 Millionen Geschäften mit Krypto bezahlen können, inklusive 10% Cashback. Zur Feier des Launches gibt es eine spezielle Aktion:
- 20% Cashback auf alle Einkäufe bis zu 200 $ mit der Bybit Crypto Card (mehr Informationen und Bedingungen)
- 10% Rabatt auf die Handelsgebühren (30 Tage gültig, sichtbar während der Registrierung)
- Bis zu 40 $ Bonus nach einer Einzahlung von 400 $ (mehr Informationen und Bedingungen)
Alle oben genannten Boni sind diesen Monat gleichzeitig gültig.
Bybit verfügt über eine MiCAR-Lizenz und darf offiziell in Europa unter den neuen Regelungen operieren.
Um den 40-$-Bonus zu erhalten, ist eine Mindesteinzahlung von 400 $ erforderlich. Bei einer Einzahlung von mindestens 100 $ erhalten Sie 20 $ (etwa 18,50 €). Alle Nutzer erhalten den 10% Rabatt auf die Handelsgebühren (gültig für 30 Tage). Das 20% Cashback mit der Bybit Card muss vorher aktiviert werden.
Bybit hat weltweit mehr als 70 Millionen Nutzer und über 2 Millionen Bybit-Card-Nutzer. Registrieren Sie ein Konto über den untenstehenden Button und profitieren Sie vom Willkommensbonus. Die Bedingungen finden Sie auf der Aktionsseite.