Neue Supply-Chain-Angriffsmeldung: Bösartige npm-Pakete Identifizieren Benutzerumgebungen Präzise

Angriffsüberblick

Dieser Angriff begann am 24. November 2025, als Angreifer 492 npm-Pakete kompromittierten, indem sie einen sich selbst replizierenden Wurm-Virus einpflanzten. Diese infizierten Pakete hatten ein kumuliertes monatliches Download-Volumen von über 132 Millionen Mal und betrafen zahlreiche bekannte Projekte, darunter Zapier, PostHog, AsyncAPI und andere.

Das Hauptziel des Angriffs war die Erbeutung sensibler Anmeldedaten von Entwicklern. Bösartige Skripte wurden während des Paketinstallationsprozesses ausgeführt und nutzten das Secret-Scanning-Tool TruffleHog, um Systempasswörter, API-Schlüssel, Cloud-Zugriffstokens sowie GitHub- oder npm-Anmeldedaten zu stehlen. Nach erfolgreicher Erbeutung wurden diese Daten an ein öffentliches GitHub-Repository namens "Sha1-Hulud: The Second Coming" exfiltriert.

Die Angriffskette

Die Umsetzung des Angriffs stützte sich auf eine ausgeklügelte Kette mit den folgenden Kernmethoden und Umgehungstechniken:

Supply-Chain-Eintritt und Verbreitung

Angreifer gaben sich hauptsächlich als die Bun-Laufzeitumgebung aus, um bösartige Skripte (wie setup_bun[.]js und bun_environment[.]js) in Softwarepaketen zu implantieren. Wenn infizierte Pakete installiert wurden, führten diese Skripte automatisch aus, stahlen nicht nur Informationen, sondern missbrauchten auch GitHub Actions, um persistenten Zugriff zu etablieren. Darüber hinaus nutzten sie gestohlene Anmeldedaten, um weitere bösartige Pakete zu veröffentlichen, und bildeten so einen sich selbst replizierenden Wurmzyklus.

Präzise Umgebungsidentifikation und Umleitung

Um der Erkennung zu entgehen und präzise Schläge durchzuführen, missbrauchten die Angreifer auch kommerzielle Verschleierungsdienste wie Adspect für die Umgebungs-Fingerabdruckerstellung. Bösartiger Code sammelte Hunderte von Parametern, darunter Browser-User-Agents, Hostnamen, Verweiser-Seiten, Bildschirmauflösung, Schriftartenlisten und mehr. Basierend auf diesen Fingerabdrücken entschied der Adspect-Dienst, ob der Besucher ein echtes Opfer oder ein Sicherheitsforscher war, und lieferte dynamisch unterschiedliche Inhalte zurück, um die echte Angriffsseite zu verbergen.

Mehrfache Anti-Analyse-Techniken

Um Sicherheitsanalysen entgegenzuwirken, integrierten diese bösartigen Softwarepakete verschiedene Anti-Analyse-Techniken, wie das Deaktivieren von Rechtsklick-Menüs, das Blockieren von F12-Entwicklertools und das Abfangen von Quellcode-Betrachtungsoperationen. Wenn Entwicklertools erkannt wurden, aktualisierte sich die Seite automatisch, was es Forschern erschwerte, statische Codeanalysen und Reverse Engineering durchzuführen.

Tiefgreifende Auswirkungen auf Entwickler

Die Auswirkungen dieses Angriffsvorfalls gehen weit über gewöhnliche Datenschutzverletzungen hinaus:

Risiko für die Kerninfrastruktur von Unternehmen

Da gestohlene Anmeldedaten oft Zugriffstokens für Cloud-Dienste wie AWS, Azure und GCP enthalten, könnten Angreifer nicht nur Daten stehlen, sondern auch direkt die Cloud-Infrastruktur von Unternehmen kontrollieren. Sie könnten sogar versuchen, in Docker-Umgebungen Rechteerweiterungen vorzunehmen, um dadurch Ransomware einzusetzen, Kryptowährungs-Mining zu betreiben oder Datenerpressung durchzuführen.

Erosion des Vertrauens in die Supply-Chain-Sicherheit

Der Angriff betraf zahlreiche weit verbreitete und vertrauenswürdige Open-Source-Projekte. Dies weaponisierte die auf dem Open-Source-Ökosystem basierenden Vertrauensbeziehungen und zeigte, dass ein einzelner kompromittierter Maintainer-Account ausreicht, um das gesamte nachgelagerte Ökosystem zu gefährden, was die Fragilität der Open-Source-Supply-Chain hervorhob.

Schutzmaßnahmen und Empfehlungen

Angesichts zunehmend komplexer Supply-Chain-Angriffe müssen Entwickler und Organisationen mehrschichtige, tiefgreifende Schutzstrategien anwenden:

Sofortige Untersuchung und Bereinigung

· Überprüfen Sie, ob betroffene Softwarepakete in Ihren Projekten verwendet werden, und entfernen bzw. ersetzen Sie diese umgehend.

· Wechseln Sie alle potenziell kompromittierten Anmeldedaten, einschließlich GitHub-Tokens, npm-Tokens, SSH-Schlüssel, API-Schlüssel und Umgebungsvariablenschlüssel.

· Überprüfen Sie GitHub auf das Vorhandensein von actionsSecrets.json-Dateien, die von der Malware erstellt wurden, oder Repositories mit dem Namen "Sha1-Hulud: The Second Coming".

Entwicklungsumgebung und -prozesse stärken

· Deaktivieren Sie in CI/CD-Umgebungen, wenn möglich, die Ausführungsberechtigungen für npm-postinstall-Skripte, um die Angriffskette zu unterbrechen.

· Implementieren Sie strikte Version-Pinning und Package-Lockfiles, um zu verhindern, dass Abhängigkeiten automatisch auf bösartige Versionen aktualisiert werden.

· Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für alle Softwarepaket-Registry-Konten und schulen Sie Entwickler darin, Phishing-E-Mails zu identifizieren, die sich an Maintainer richten.

Kontinuierliche Überwachung und Auditierung implementieren

· Verwenden Sie Software Composition Analysis (SCA)-Tools wie npm audit und Snyk, um Projektabhängigkeiten kontinuierlich zu scannen und bekannte Schwachstellen und bösartige Versionen promptly zu identifizieren.

· Integrieren Sie Logs von Plattformen wie GitHub in SIEM-Systeme, um die Überwachung anomaler Aktivitäten zu verbessern.