In der heutigen digital vernetzten Welt sind Cyberangriffe immer raffinierter und komplexer geworden. Besonders gefährlich sind dabei Malware-Varianten, die sich bewusst im vermeintlichen Normalbetrieb eines Systems verstecken. Eine dieser ausgeklügelten Strategien wurde jüngst bei einem Angriff festgestellt, der mit nordkoreanischen Hackergruppen in Verbindung gebracht wird. Die sogenannten Lazarus-Gruppe, bekannt für ihre hochentwickelten Cyberoperationen, nutzt versteckte Malware, die sich in populären Softwarepaketen tarnt, um unentdeckt sensible Daten wie Krypto-Wallets, Browser-Caches und Passwörter zu stehlen. Gleichzeitig ermöglicht diese Schadsoftware das Einschleusen weiterer schädlicher Nutzlasten, mit denen sich die Angreifer Zugang auf verschiedenen Systemebenen verschaffen und langfristige Kontrolle etablieren können.
Die Entdeckung der Malware erfolgte durch ein automatisiertes Analysemodul, das verdächtige Pakete in öffentlichen Registrierungen wie dem npm-Repository aufspürt. Dabei fiel ein Paket namens react-html2pdf.js auf, das sich als legitimes populäres Paket ausgab, jedoch Schadcode enthielt, der allerdings zunächst nicht auf den ersten Blick erkennbar war. Die Angreifer verwendeten eine subtile Methode der Tarnung: Auf den ersten Blick fehlten übliche Anzeichen für bösartigen Code, wie Lifecycle-Skripte in der package.json oder offensichtliche Importe, die den Ablauf einer Schadsoftware steuern.
Der schädliche Code war per horizontalem Scrollen versteckt, was ihn vor oberflächlicher Prüfung verbarg. Im Kern wurde aus der Ferne ein Code-Snippet geladen, welches per eval()-Funktion ausgeführt wurde – eine Technik, die häufig verwendet wird, um Schadprogramme dynamisch und flexibel zu gestalten und bei Bedarf zu aktualisieren, ohne eine neue Version des Pakets zu veröffentlichen. Trotz der raffinierten Tarnung machten die Angreifer grundlegende Fehler, wie das Vergessen, wichtige Bibliotheken zu importieren, was das initiale Ausführen des Schadcodes verhinderte. Diese Fehler ermöglichten es Sicherheitsteams, die Malware nicht nur zu erkennen, sondern auch den Entwicklungsprozess der Schadsoftware in Echtzeit zu beobachten und weitere Erkenntnisse zu sammeln. Nachdem die Angreifer ihre Fehler behoben hatten, führte der Schadcode mehrere typische bösartige Aktivitäten aus: Das Sammeln von Daten aus verschiedenen Browser-Profilen, inklusive Firefox, Chrome, Brave und Opera, sowie das Absaugen von Krypto-Wallet-Daten.
Weiterhin wurden Systemdateien und Keychains ausgelesen, um Anmeldedaten, gespeicherte Passwörter und andere sensible Informationen zu erbeuten. Die gesammelten Daten wurden dann an einen ursprünglich über eine IP-Adresse definierten C2-Server in regelmäßigen Abständen hochgeladen. Zudem lud der Schadcode eigenständig eine zusätzliche bösartige Payload herunter und führte diese auf dem betroffenen System aus, was zur Persistenz des Angriffs beitrug. Die verwendeten Taktiken, wie das verschleierte Laden von Code und das automatische Nachladen von Schadsoftware, haben sich als sehr effizient bei der Umgehung herkömmlicher Sicherheitsmaßnahmen erwiesen. Der Ursprung des Schadcodes lässt sich klar der Lazarus-Gruppe zuordnen, einer staatlich unterstützten nordkoreanischen Hackerorganisation, die für umfangreiche und kostspielige Cyberangriffe auf internationale Finanzinstitute und Kryptowährungsbörsen verantwortlich ist.
Das auffällige Muster des Angriffscodes, die verwendeten IP-Adressen sowie die Täuschungstechniken waren typische Indikatoren dieser Gruppe. Besonders interessant ist, dass diese Malware im Kontext von Supply-Chain-Angriffen genutzt wird. Dabei wird nicht direkt eine Organisation angegriffen, sondern eine Abhängigkeit durch manipulierte Softwarekomponenten kompromittiert, die in vielen Unternehmen und Projekten verwendet wird. Diese Art von Angriff bietet den Angreifern effektive und breitflächige Zugänge in verschiedene Systeme, ohne individuell jede Plattform anzugreifen. Die Analyse und öffentliche Bekanntmachung solcher Malware-Varianten hilft Unternehmen, Entwicklern und Sicherheitsexperten, Sicherheitslücken frühzeitig zu erkennen und durch den Einsatz spezialisierter Sicherheitslösungen besser präventiv dagegen vorzugehen.
Aikido Security beispielsweise bietet mit seinem Malware-Detection-Feed eine innovative Plattform, die öffentliche Paketregistrierungen wie npm kontinuierlich scannt, um potenziell schädliche Pakete zu identifizieren. Dabei werden klassische Ansätze der statischen Analyse mit KI-gestützten Modellen kombiniert, um auch ausgeklügelte und versteckte Schadsoftware zuverlässig aufzuspüren. Ein wichtiger Aspekt, der aus diesem Vorfall hervorgeht, ist die Erkenntnis, dass zu großes Bemühen, die schädliche Absicht zu verbergen, oft zu zusätzlichen Hinweisen auf den bösartigen Code führt. Ungewöhnliche Formatierung, versteckte Code-Elemente oder das dynamische Laden von Code sind signifikante Signale, nach denen Sicherheitslösungen suchen können. Zudem schafft die Verlagerung der Hauptpayload auf eine entfernte Plattform zwar Flexibilität für die Angreifer, generiert jedoch ebenfalls Netzwerkaktivitäten, die entdeckt und analysiert werden können.
Die „Malware im Verborgenen“-Strategie hat also zwiespältige Effekte: Sie erhöht kurzfristig die Chancen für einen erfolgreiche Installation, birgt aber langfristig das Risiko einer Erkennung durch ausgefeilte Analyseverfahren. Für Unternehmen und Entwickler ist es daher essenziell, auf automatisierte und fortschrittliche Sicherheitssysteme zu setzen, die sowohl statische als auch dynamische Analysen sowie Verhaltensüberwachung umfassen. Die Integration solcher Systeme in die Entwicklungs- und Deployment-Pipelines sorgt dafür, dass Schadsoftware schon vor der Verteilung erkannt und blockiert wird. Dabei spielen auch regelmäßige Updates und Schulungen eine wichtige Rolle, um verantwortliche Teams für die sich stetig verändernde Bedrohungslage zu sensibilisieren. Gerade im Bereich von Open-Source-Software, auf die viele Unternehmen angewiesen sind, ist ein ganzheitliches Sicherheitsmanagement unabdingbar, da ein kompromittiertes Paket weitreichende Folgen haben kann.
Die Geschichte der entdeckten Malware zeigt auch, wie selbst staatlich gesponserte Hackergruppen nicht immer perfekt arbeiten und durch Fehler angreifbar werden. Gleichzeitig offenbart sie, wie wichtig eine enge Zusammenarbeit zwischen Sicherheitsforschern, Gemeinschaften und Anbietern ist, um schnell auf solche Bedrohungen reagieren zu können. Die Offenlegung der Methoden, IP-Adressen und Indikatoren schafft Transparenz und hilft weiteren Organisationen, sich zu schützen. Abschließend zeigt der Fall, dass auch die hochentwickeltsten Angriffe Schwächen aufweisen und dank moderner Sicherheitsmechanismen erkennbar sind. Technologieanbieter, Sicherheitsforscher und Entwickler müssen Hand in Hand arbeiten, um den Schutz vor Supply-Chain-Angriffen zu stärken und die digitale Infrastruktur gegen bösartige Akteure zu verteidigen.
Es bleibt eine dauerhafte Herausforderung, die kontinuierliche Wachsamkeit und Innovation erfordert, um dem zunehmenden Bedrohungspotential wirksam zu begegnen.
