Mithilfe der maschinellen Lernmodelle von Check Point konnten 16 bösartige Pakete auf NPM entdeckt werden. Die Sicherheitsforscher haben diese genauer analysiert und zeigen Beispiele.
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cyber-Sicherheitslösungen, entdeckte 16 bösartige Software-Pakete auf NPM, dem weltweit führenden Verzeichnis für JavaScript-Pakete. Die Installation dieser ermöglichte Cryptojacking, eine bösartige Form des Cryptominings. Dabei werden fremde Rechenkapazitäten zum Schürfen von Krypto-Währungen missbraucht. Die Forscher von Check Point teilten diese Entdeckungen mit NPM, welches die schädlichen Pakete sofort entfernte. Dennoch können bereits tausende von Nutzern diese Pakete heruntergeladen haben.
NPM ist das führende Register für JavaScript-Open-Source-Pakete und beinhaltet ungefähr 2,2 Millionen Pakete. Das Verzeichnis ist Eigentum von GitHub. NPM (Node Package Manager) ist ein Paketmanager für die Programmiersprache JavaScript und der Standard-Paketmanager für die JavaScript-Laufzeitumgebung Node.js. Er wird verwendet, um Pakete für Node.js-Projekte zu verteilen und zu installieren. NPM ist quelloffen und kostenlos und ist die größte Software-Registrierungsstelle der Welt. Cryptojacking ist eine gängige Methode für Hacker, um aus ihrem Zugriff auf die Systeme eines Unternehmens Profit zu schlagen. Cryptojacking-Malware nutzt die Rechenleistung eines Unternehmens, um auf einer Blockchain-Plattform Krypto-Währungen für den Angreifer zu schürfen. Sobald der Angreifer die Kontrolle über die Ressourcen des Opfers erlangt hat, kann er diese zum Schürfen von für sich selbst nutzen, oft mit einem erheblichen Gewinn – oder er kann die Stromrechnung des Unternehmens nach oben treiben, was gerne als Druckmittel genutzt wird. Solche Angriffe wurden in den letzten Jahren sowohl bei NPM als auch bei PyPI, dem offiziellen Software-Repository für Python, festgestellt, wobei viele Pakete und Nutzer dieser Plattformen betroffen ware
Beispiele für bösartige Pakete
- Das Paket speedtestspa ist ein gutes Beispiel: Es lädt einen bösartigen Helfer von GitLab herunter und verwendet ihn, um sich mit dem Krypto-Mining-Pool zu verbinden.
- Das Paket speedtestkas verfolgt eine ähnliche Aufgabe, mit dem Unterschied, dass hier die bösartige Datei bereits als Teil dieses Pakets gebündelt ist.
- Das Paket speedtestbom geht bei den Verschleierungsversuchen noch weiter: Hier ist die Adresse des Krypto-Mining-Pools nicht explizit sichtbar, sondern der Code verbindet eine unbekannte IP-Adresse zu diesem Zweck.
- Schließlich zeigt das Paket speedtesto den höchsten Grad an Verschleierungsabsicht, indem es auch den Speedtest-Code hinzufügt, wahrscheinlich in der Annahme, dass eine solche Version weniger wahrscheinlich von den Überwachungsanwendungen identifiziert werden kann.
Ein Blick auf die Eigentümerseite der Pakete bei NPM zeigt, dass diese mitten in der Ausführung ihres bösartigen Experiments erwischt wurden, Krypto-Jacking-Pakete bei NPM zu verstecken.
Hier die vollständige Liste der 16 verseuchten Pakete:
lagra
speedtesta
speedtestbom
speedtestfast
speedtestgo
speedtestgod
speedtestis
speedtestkas
speedtesto
speedtestrun
speedtestsolo
speedtestspa
speedtestwow
speedtestzo
trova
trovam
Verantwortungsvolle Offenlegung
Alle entdeckten Pakete wurden am Donnerstag, 17. Januar 2023, veröffentlicht. CloudGuard Spectral, eine auf Entwickler ausgerichtete Plattform für Code-Sicherheit von Check Point, identifizierte und entdeckte sie noch am selben Tag. Die Sicherheitsforscher gaben die Informationen sofort an das NPM-Team weiter. NPM entfernte die Pakete am folgenden Tag.
Mehr Details zu den bösartigen Krypto-Mining-Paketen auf NPM finden Sie im Check Point Blog.
