Check Point entdeckt bösartige Krypto-Mining-Pakete im JavaScript Registry NPM

npm5

Abbildung: Seite des Paketbesitzers bei NPM – Ein Blick auf die Eigentümerseite der Pakete bei NPM zeigt, dass diese mitten in der Ausführung ihres bösartigen Experiments erwischt wurden, Krypto-Jacking-Pakete bei NPM zu verstecken.

Mithilfe der maschinellen Lernmodelle von Check Point konnten 16 bösartige Pakete auf NPM entdeckt werden. Die Sicherheitsforscher haben diese genauer analysiert und zeigen Beispiele.

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cyber-Sicherheitslösungen, entdeckte 16 bösartige Software-Pakete auf NPM, dem weltweit führenden Verzeichnis für JavaScript-Pakete. Die Installation dieser ermöglichte Cryptojacking, eine bösartige Form des Cryptominings. Dabei werden fremde Rechenkapazitäten zum Schürfen von Krypto-Währungen missbraucht. Die Forscher von Check Point teilten diese Entdeckungen mit NPM, welches die schädlichen Pakete sofort entfernte. Dennoch können bereits tausende von Nutzern diese Pakete heruntergeladen haben.

NPM ist das führende Register für JavaScript-Open-Source-Pakete und beinhaltet ungefähr 2,2 Millionen Pakete. Das Verzeichnis ist Eigentum von GitHub. NPM (Node Package Manager) ist ein Paketmanager für die Programmiersprache JavaScript und der Standard-Paketmanager für die JavaScript-Laufzeitumgebung Node.js. Er wird verwendet, um Pakete für Node.js-Projekte zu verteilen und zu installieren. NPM ist quelloffen und kostenlos und ist die größte Software-Registrierungsstelle der Welt. Cryptojacking ist eine gängige Methode für Hacker, um aus ihrem Zugriff auf die Systeme eines Unternehmens Profit zu schlagen. Cryptojacking-Malware nutzt die Rechenleistung eines Unternehmens, um auf einer Blockchain-Plattform Krypto-Währungen für den Angreifer zu schürfen. Sobald der Angreifer die Kontrolle über die Ressourcen des Opfers erlangt hat, kann er diese zum Schürfen von für sich selbst nutzen, oft mit einem erheblichen Gewinn – oder er kann die Stromrechnung des Unternehmens nach oben treiben, was gerne als Druckmittel genutzt wird. Solche Angriffe wurden in den letzten Jahren sowohl bei NPM als auch bei PyPI, dem offiziellen Software-Repository für Python, festgestellt, wobei viele Pakete und Nutzer dieser Plattformen betroffen waren.

Hier die vollständige Liste der 16 verseuchten Pakete:
lagra
speedtesta
speedtestbom
speedtestfast
speedtestgo
speedtestgod
speedtestis
speedtestkas
speedtesto
speedtestrun
speedtestsolo
speedtestspa
speedtestwow
speedtestzo
trova
trovam

Verantwortungsvolle Offenlegung
Alle entdeckten Pakete wurden am Donnerstag, 17. Januar 2023, veröffentlicht. CloudGuard Spectral, eine auf Entwickler ausgerichtete Plattform für Code-Sicherheit von Check Point, identifizierte und entdeckte sie noch am selben Tag. Die Sicherheitsforscher gaben die Informationen sofort an das NPM-Team weiter. NPM entfernte die Pakete am folgenden Tag.