In der heutigen digitalen Welt sind Software-Lieferketten immer stärker im Fokus von cyberkriminellen Angriffen. Besonders Open-Source-Pakete, die Entwickler täglich nutzen, können zur Schwachstelle werden, wenn Angreifer diese als Vehikel für Malware missbrauchen. Ein aktuelles und bemerkenswertes Beispiel ist der Fall des NPM-Pakets os-info-checker-es6, das durch eine Kombination ausgeklügelter Verschleierungstechniken und neuartiger Angriffswege auffiel. Dabei wird Malware über Google Calendar Einladungen und sogenannte Unicode Private Use Areas (PUAs) eingeschleust – ein innovativer und überraschender Weg, der Sicherheitsforscher aufhorchen lässt. Das betroffene NPM-Paket os-info-checker-es6 gibt sich harmlos und verspricht, Informationen über das Betriebssystem eines Rechners zu liefern.
Doch ein genauer Blick auf den Quellcode offenbart schnell mehrere Warnzeichen. Besonders auffällig ist eine eval()-Anweisung im preinstall.js-Skript, die eine base64-codierte Zeichenkette dekodiert und ausführt. Eval() ist allgemein bekannt für sein Missbrauchspotenzial, da es beliebigen Code zur Laufzeit ausführen kann. Die Tatsache, dass die Input-Daten dieser Funktion mittels einer ungewöhnlichen Nutzung von PUAs versteckt wurden, machte den Fall besonders komplex.
PUAs sind spezielle Unicode-Zeichen, die eigentlich nicht zugeordnet sind und von Softwareentwicklern zur eigenen Symbolik genutzt werden können. In diesem Fall wurden die PUAs genutzt, um einen base64-codierten String zu verstecken, der von einem eingebetteten nativen Node-Modul dekodiert wird. Eine solch clevere Verschleierung ist ungewöhnlich und zeigt, wie Angreifer zunehmend neue Wege suchen, ihre schädlichen Absichten zu tarnen. Zum damaligen Zeitpunkt stellte sich heraus, dass der ausgeführte Code beim ersten Fund keine offensichtlichen schädlichen Aktionen durchführte. Stattdessen wurde lediglich eine einfache Konsolen-Ausgabe ausgegeben, was die Forscher zunächst ratlos zurückließ.
Jedoch verfolgten Sicherheitsanalysten das Paket weiterhin und entdeckten, dass es als Abhängigkeit in mehreren weiteren Paketen auftauchte, die scheinbar unterschiedliche Zwecke verfolgten, aber alle die gleiche potenziell schädliche Abhängigkeit mit sich brachten. Die eigentliche Gefahr offenbarte sich, als das Paket am 7. Mai 2025 in einer neuen Version erschien. Hier wurden die gegenüber früheren Versionen stark ausgeweiteten und weiterhin obfuskierten base64-codierten Strings sichtbar, die über das Internet geladen und ausgeführt wurden. Die neuartige Technik bestand daraus, dass der Angreifer eine Google Calendar Einladung mit einem Titel nutzte, der ebenfalls als base64-String kodiert war und vermummt auf eine URL verwies, über die die finale schädliche Nutzlast heruntergeladen werden sollte.
Diese Vorgehensweise ist insofern geschickt, da Google Calendar als vertrauenswürdige Plattform gilt und Einladungen dort oftmals bedenkenlos geöffnet werden. Das Einbinden von schädlichem Code in einer Kalender-URL ist deshalb schwierig zu erkennen und für viele Nutzer eine Falltür, durch die Angreifer in Systeme eindringen können. Auf diese Weise werden Termine oder Einladungen zu vermeintlichen Veranstaltungen oder Meetings zu Trojanern, die bei Ausführung das System kompromittieren können. Die Analyse des tatsächlichen Nutzlastservers führte zu einer IP-Adresse, die verdächtig wirkte und bisher nicht mit legitimen Diensten in Verbindung gebracht werden konnte. Die Verbindung zwischen der Kalender-URL und dem nachgeladenen Code verdeutlicht eine mehrstufige Attacke, bei der zunächst ein scheinbar harmlesses Paket im NPM-Repository installiert wird, woraufhin durch die ausgeklügelte Verschleierung der eigentliche schädliche Code dynamisch zu einem späteren Zeitpunkt nachgeladen und ausgeführt wird.
Diese Taktik erschwert die Detektion erheblich, da statische Analysen den schadhaften Code oft nicht entdecken können und herkömmliche Virenscanner durch die Polymorphie und das Nachladen über legitime Dienste ausgetrickst werden. Zusätzlich erhöhen Techniken wie eine Single-Instance-Lock-Datei und automatische Wiederholungen bei Fehlern die Widerstandskraft dieser Malware-Komponenten gegen Entdeckung und Entfernung. Das Kernproblem dabei ist, dass Entwickler und automatisierte Systeme heutzutage von der schieren Menge an Dev-Dependencies und Paketen bislang nur schwer jedes einzelne sorgfältig und manuell überprüfen können. Dies bietet Angreifern eine wichtige Angriffsfläche in der Software-Lieferkette. So konnten die Verbreiter der schädlichen Pakete nicht nur den initialen Installationsprozess über eine täuschend echte System-Informationsabfrage tarnt, sondern auch eine speziell auf Node.
js zugeschnittene native Erweiterung nutzen, um ihre Nutzlast unauffällig zu transportieren. Die Verwendung von Google Calendar als Tarnmechanismus für die Verbreitung von Malware ist ein bemerkenswertes Beispiel für die innovative und zugleich gefährliche Weiterentwicklung von Angriffstechniken im Cybercrime-Umfeld. Es zeigt, wie Plattformen, die eigentlich für Zusammenarbeit und Organisation gedacht sind, missbraucht werden können, um Schadsoftware zu verbreiten – ein Trend, um den sich Sicherheitsexperten deutlich verstärkt kümmern müssen. Für Entwickler und Organisationen bedeutet dies, dass neben klassischen Sicherheitsmaßnahmen wie der Überprüfung von Paketen aus Open-Source-Repositories auch die Beobachtung ungewöhnlicher Netzwerkaktivitäten und eine strikte Trennung von Berechtigungen bei der Ausführung von Drittsoftware notwendig sind. Der Einsatz von automatisierten Security-Scannern, die auch ungewöhnliche Muster wie PUAs oder verdächtige Base64-Verschlüsselungen aufdecken können, ist mittlerweile unerlässlich geworden.
Ebenso wichtig ist die Sensibilisierung von Endanwendern hinsichtlich Gefahren aus scheinbar harmlosen Kalender-Einladungen. Das blinde Akzeptieren von Terminanfragen ohne genauere Prüfung kann in Zukunft als Einfallstor in geschäftskritische Umgebungen dienen. Unternehmen sollten daher neben technischen auch organisatorische Maßnahmen implementieren, um solche Risiken zu minimieren. Ein zentraler Schritt zur besseren Abwehr solcher Supply-Chain-Angriffe ist die kontinuierliche Überwachung und Analyse von Bibliotheken und Paketen, die in der Entwicklungsumgebung verwendet werden. Spezialisierte Security-Tools, die bei Veränderungen in Paketen Alarm schlagen oder ungewöhnliches Verhalten melden, bieten wertvolle Unterstützung im Kampf gegen diese Art von Bedrohungen.
Die Fallstudie rund um das Paket os-info-checker-es6 demonstriert exemplarisch, wie raffiniert moderne Malware-Entwickler vorgehen, um ihren Schadcode zu verbergen und zu verbreiten. Mit Hilfe von Unicode PUAs und der Kombination von Google Calendar-Terminlinks als Auslieferungsweg wird eine neue Ebene der Bedrohung erreicht, die traditionell genutzte Abwehrmaßnahmen überfordert. Abschließend lässt sich sagen, dass das Thema Software-Supply-Chain-Sicherheit durch solche Fälle an Dringlichkeit gewinnt. Nur durch ein gemeinsames Engagement von Entwicklern, Sicherheitsforschern und Unternehmen kann es gelingen, die Sicherheit der digitalen Infrastruktur nachhaltig zu gewährleisten. Die Wachsamkeit gegenüber ungewöhnlichen Paketen und die regelmäßige Überprüfung aller Komponenten in der Build- und Deployment-Kette sind dabei entscheidend.
Wir empfehlen, bei neuen und unbekannten Paketen besonders aufmerksam zu sein, ungewöhnliche oder unerklärliche Code-Anweisungen genauer unter die Lupe zu nehmen und stets die Updates von Security-Spezialisten und Threat-Intelligence-Feeds im Blick zu behalten. Nur so lassen sich die immer stärker werdenden Bedrohungen wie jene durch Malware in Google Calendar Einladungen und verschleierte Node-Pakete frühzeitig erkennen und abwehren.
