NPM mit bösartigen Paketen überflutet, die mehr als 86.000 Mal heruntergeladen wurden

Sicherheitsforscher haben eine bedeutende Schwachstelle im NPM-Code-Repository entdeckt, die Angreifer seit August ausnutzen. Diese Schwäche führte zur Einschleusung von über 100 bösartigen Paketen, die darauf ausgelegt sind, Zugangsdaten zu stehlen, von denen viele lange unentdeckt blieben. Die Sicherheitsfirma Koi machte dieses Problem am Mittwoch öffentlich und betonte einen kritischen Fehler im Umgang von NPM mit Paketabhängigkeiten. Die Plattform erlaubt es installierten Paketen, automatisch andere Pakete aus nicht vertrauenswürdigen Quellen abzurufen und auszuführen, ohne ordnungsgemäße Überprüfung, was einen gefährlichen Angriffsvektor schafft.\n\nBekannt als die PhantomRaven-Kampagne nutzten die Angreifer die NPM-Funktion Remote Dynamic Dependencies (RDD) aus. Diese Funktion ermöglicht es Paketen, Abhängigkeiten dynamisch von externen, oft nicht vertrauenswürdigen Domains herunterzuladen, einschließlich solcher, die unverschlüsselte HTTP-Verbindungen verwenden. Im Gegensatz zu traditionellen Abhängigkeiten, die sichtbar und festgelegt sind, bleiben RDD-Abhängigkeiten für Entwickler und viele Sicherheitstools unsichtbar, da sie nicht auf übliche Weise deklariert werden. Koi berichtete, dass PhantomRaven NPM mit 126 bösartigen Paketen überschwemmte, die zusammen mehr als 86.000 Mal heruntergeladen wurden. Alarmierend ist, dass am Mittwochmorgen etwa 80 dieser gefährlichen Pakete noch zum Download verfügbar waren.\n\nDie Ausnutzung von RDD durch PhantomRaven ist besonders besorgniserregend, da sie statische Analysetools und andere gängige Sicherheitsmaßnahmen umgeht. Da die Abhängigkeiten bei jeder Installation eines Pakets frisch von angreiferkontrollierten Servern abgerufen werden, werden sie nicht zwischengespeichert oder versioniert, was die Nachverfolgung und Erkennung bösartiger Nutzlasten erheblich erschwert. Einige von den Angreifern verwendete URLs, wie solche, die auf verdächtige Domains wie packages.storeartifact.com verweisen, liefern diese versteckten Abhängigkeiten, die die Umgebung des Nutzers heimlich kompromittieren. Die fehlende Transparenz führt dazu, dass Entwickler diese Pakete als ohne Abhängigkeiten ansehen und somit das Risiko bei der Nutzung unterschätzen.\n\nDiese Entdeckung hebt eine eklatante Schwachstelle in traditionellen Sicherheitstools hervor, bei denen dynamisch zur Laufzeit abgerufene Abhängigkeiten unsichtbar und ungeprüft bleiben. Koi-Sicherheitsanalyst Oren Yomtov wies darauf hin, dass Angreifer immer raffinierter werden, diese Lücken auszunutzen, was Erkennung und Prävention erschwert. Die Flexibilität, die RDD Entwicklern bietet, um Bibliotheken bei Bedarf aus verschiedenen Quellen zu beziehen, öffnet auch die Tür für erhebliche Sicherheitsrisiken, wenn sie nicht reguliert wird.\n\nInsgesamt unterstreicht die PhantomRaven-Kampagne den dringenden Bedarf an größerer Kontrolle und verbesserten Sicherheitspraktiken im NPM-Ökosystem. Entwickler und Organisationen, die auf NPM-Pakete angewiesen sind, müssen sich der potenziellen unsichtbaren und dynamisch abgerufenen Bedrohungen bewusst sein. Bis bessere Schutzmaßnahmen implementiert sind, bleibt das Risiko, kompromittierte Pakete zu installieren, hoch und könnte Millionen von Nutzern dem Diebstahl von Zugangsdaten und anderen bösartigen Aktivitäten aussetzen. Dieser Vorfall sollte als Weckruf für die breitere Softwareentwicklungsgemeinschaft dienen, das Abhängigkeitsmanagement und Verifizierungsprozesse neu zu überdenken.