Die Welt der Softwareentwicklung ist in den letzten Jahren enorm gewachsen. Open-Source-Repositories wie npm (Node Package Manager) und die Erweiterungsplattform von Visual Studio Code (VS Code) sind zu unverzichtbaren Ressourcen für Entwickler geworden. Sie bieten eine Vielzahl von Paketen und Erweiterungen, die Entwicklungsprozesse beschleunigen, Funktionen erweitern und innovative Anwendungen ermöglichen. Doch gerade durch diese Beliebtheit und den einfachen Zugang werden diese Plattformen immer häufiger von Cyberkriminellen missbraucht. Aktuelle Untersuchungen und Sicherheitswarnungen verdeutlichen eine gefährliche neue Welle bösartiger npm- und VS Code-Pakete, die nicht nur Daten stehlen, sondern auch gezielt Kryptowährungen ins Visier nehmen.
Sicherheitsforscher entdeckten kürzlich über 70 bösartige npm- und VS Code-Pakete, die in der Lage sind, sensible Daten von infizierten Systemen zu extrahieren und Kryptowährungs-Wallets zu kompromittieren. Dabei handelt es sich nicht nur um herkömmliche Malware, die schädlichen Code enthält, sondern um äußerst raffinierte Schadsoftware, die sich geschickt tarnt, um erst spät als Bedrohung erkannt zu werden. Die Angreifer gehen dabei äußerst strategisch vor, indem sie ihre Pakete so gestalten, dass sie auf den ersten Blick völlig legitim und nützlich erscheinen – eine Taktik, die das Vertrauen potenzieller Opfer ausnutzt. Im npm-Ökosystem wurden allein rund 60 bösartige Pakete identifiziert, die während der Installation eines Projekts automatisch eine Schadfunktion ausführen. Diese Pakete wurden unter drei verschiedenen, mittlerweile gesperrten Accounts publiziert.
Sobald ein Entwickler eines dieser Pakete installiert, startet ein Skript, das gezielt Informationen über das infizierte System sammelt. Dazu gehören Passwörter, Hostnamen, IP-Adressen, DNS-Server, Verzeichnisstrukturen und weitere für Angreifer wertvolle Details. Die gesammelten Daten werden an eine externe Server-Infrastruktur gesendet, die über Discord-Webhooks gesteuert wird – ein Moderner Kanal, der von den Angreifern verwendet wird, um Daten unauffällig abzugreifen. Besonders brisant ist die Tatsache, dass diese Schadpakete absichtlich Sandboxing- und Virtualisierungsumgebungen erkennen und ihren Schadcode in solchen Umgebungen deaktivieren. Das erschwert Detektions- und Analyseversuche durch Sicherheitsexperten und automatisierte Systeme erheblich.
Das Schadverhalten richtet sich gegen alle gängigen Betriebssysteme wie Windows, macOS und Linux, was die potenzielle Opferbasis enorm erweitert. Neben der Datendiebstahl-Funktion wurde eine zweite Gruppe von npm-Paketen identifiziert, die schadhafte Funktionen enthalten, die direkt auf die Integrität der Entwicklungsumgebung abzielen. Einige dieser Pakete tragen den Anschein, nützliche Hilfsfunktionen zu bieten und geben vor, Entwicklern bei der Arbeit mit beliebten Frameworks wie React, Vue.js oder Vite zu helfen. In Wirklichkeit führen sie jedoch bei Aktivierung zerstörerische Aktionen aus.
Dadurch werden zum Beispiel wichtige Dateien gelöscht, grundlegende Methoden der JavaScript-Umgebung manipuliert oder Speichermechanismen des Browsers wie lokale Cookies und Speicherstände sabotiert. Ein besonders gefährliches Beispiel ist das Paket js-bomb. Es entfernt nicht nur Dateien des Vue.js-Frameworks, sondern kann auch das befallene System basierend auf der Uhrzeit gezielt herunterfahren. Das weckt den Verdacht, dass die Hintermänner bewusst Timing-Mechanismen nutzen, um ihre Attacken möglichst unauffällig zu gestalten oder gezielt zur Unzeit auszuleiten.
Diese Mehrzweck-Taktik, gutartige und schädliche Pakete parallel zu veröffentlichen, schafft eine Tarnung, die Entwickler in die Irre führt. Einige Autoren, wie der mutmaßliche Angreifer namens xuxingfeng, setzen sowohl legitime als auch schädliche Pakete ein, um ein legitimes Profil auf npm aufzubauen. Dadurch steigt das Vertrauen und die Wahrscheinlichkeit, dass Schadsoftware auf breiter Basis installiert wird. Derartige Angriffe sind Teil eines generellen Trends, in dem Cyberkriminelle die Vertrauenswürdigkeit von Open-Source-Software-Plattformen ausnutzen, um gezielte Supply-Chain-Angriffe durchzuführen. Durch die Kompromittierung von populären Paketen erreichen sie eine große Anzahl von Nutzern und Systemen.
Das erschwert die Erkennung und Abwehr im Vergleich zu herkömmlichen Angriffsmethoden deutlich. Zusätzlich gemeldet wurde ein neuer Angriff, der traditionelle Phishing-Methoden mit der Verbreitung von bösartigen npm-Paketen verknüpft. Hierbei starten Angreifer mit einer manipulierten E-Mail, die eine verschlüsselte JavaScript-Datei enthält, welche von einem inzwischen gelöschten npm-Paket namens citiycar8 stammt. Wird dieses Paket installiert, initiiert es eine Reihe von URL-Weiterleitungen, die Nutzer auf eine gefälschte Office 365 Login-Seite locken, um ihre Zugangsdaten abzugreifen. Dieser Angriff zeigt höchste technische Raffinesse, indem er neben Verschlüsselungstechnologien (AES) und CDN-Verbreitung auch mehrere Weiterleitungen nutzt, um die wahren Absichten zu verschleiern.
Die Kombination verschiedener Techniken demonstriert, wie ausgeklügelt und vielseitig heutige Bedrohungen sind. Über npm hinaus wurden ebenfalls schädliche Erweiterungen in Microsofts VS Code Marketplace entdeckt. Drei bösartige Erweiterungen namens solaibot, among-eth und blankebesxstnion zielen insbesondere auf Entwickler ab, die mit Solidity arbeiten – einer Programmiersprache für Smart Contracts auf Ethereum-Basis. Diese Erweiterungen bieten vermeintlich sinnvolle Funktionen wie Syntax- und Schwachstellenprüfungen. In Wahrheit verstecken sie jedoch komplexe Malware, die Kryptowährungs-Wallet-Daten von infizierten Windows-Systemen sammelt.
Ein besonders perfides Vorgehen enthüllt sich darin, dass ein Teil des Schadcodes innerhalb einer Bilddatei auf dem Internet Archive versteckt wurde, um die Erkennung zu erschweren. Nach Installation schleusen die Erweiterungen einen manipulierten Chromium-basierten Browser ein, der Ethereum-Wallets ausliest und die Daten an Command-and-Control-Server übermittelt. Darüber hinaus deaktivieren sie vorsorglich Systemschutzfunktionen wie Windows Defender und scannen lokale Anwendungsdaten nach Hinweisen auf Discord, Browser-Caches und andere sensible Applikationen. Die Angreifer dieser Kampagne, bekannt unter der Bezeichnung MUT-9332, setzen die Strategie ein, scheinbar harmlose Tools mit versteckter schädlicher Funktionalität zu kombinieren. Diese Vorgehensweise macht die Erkennung besonders schwierig und erhöht gleichzeitig die Reichweite der Angriffe, da viele Entwickler auf solche Tools angewiesen sind.
Erschwerend kommt hinzu, dass MUT-9332 ähnliche Kampagnen mit weiteren bösartigen VS Code-Erweiterungen startete, über die beispielsweise Kryptowährungs-Miner wie XMRig verbreitet wurden. Diese erweiterten die Schadenswirkung auf die unbefugte Nutzung von Systemressourcen zur Krypto-Mining-Erstellung, was zu Leistungsproblemen und erhöhtem Stromverbrauch führt. Die Methoden dieser Erpresser und Datendiebe zeigen deutlich, wie wichtig eine rigorose Überprüfung von Open-Source-Komponenten und Erweiterungen ist. Entwickler sollten bei der Auswahl von Paketen und Erweiterungen größte Vorsicht walten lassen und regelmäßig Sicherheitsupdates sowie Scanner einsetzen, die potenziell schädlichen Code erkennen können. Zudem empfiehlt es sich, auf etablierte und verifizierte Quellen zu setzen, npm-Pakete und Erweiterungen nur aus offiziellen Stores herunterzuladen und auf unerwartete Verhaltensweisen während der Installation und Ausführung zu achten.
Unternehmen sollten zusätzlich Richtlinien für den Umgang mit Drittanbieter-Software einrichten und automatisierte Monitoring-Lösungen implementieren, um verdächtige Aktivitäten möglichst früh zu erkennen. Zusammenfassend verdeutlichen die aktuellen Enthüllungen über bösartige npm- und VS Code-Pakete einmal mehr die wachsenden Risiken in der Software-Lieferkette. Die Kombination aus Vertrauensmissbrauch, technischer Verschleierung und gezielten Angriffszielen stellt Entwickler und Sicherheitsverantwortliche vor große Herausforderungen. Ein bewusster, sicherheitsorientierter Umgang mit Open-Source-Software und kontinuierliche Wachsamkeit sind essenziell, um Schäden zu vermeiden und die Integrität der Entwicklungsumgebungen zu gewährleisten. Vor allem im Bereich der Kryptowährungen sind die Folgen solcher Angriffe gravierend, da gestohlene Wallet-Zugangsdaten direkt zu finanziellem Verlust führen können.
Daher sind präventive Maßnahmen auf technischer und organisatorischer Ebene unabdingbar, um sich gegen diese ausgefeilten Bedrohungen zu schützen und langfristig eine sichere Softwareversorgung sicherzustellen.
