Zum Inhalt springen

Vier bösartige npm-Pakete verbreiten Infostealers und Phantom-Bot-DDoS-Malware

Auf den Punkt: Vier bösartige npm-Pakete von demselben Angreifer verbreiten unterschiedliche Malware: einen DDoS-Botnet und Infostealers. Ein Paket klont den neu veröffentlichten Shai-Hulud-Wurms. Benutzer sollten betroffene Pakete sofort entfernen und ihre Sicherheitsanmeldedaten zurücksetzen.

Sicherheitsforscher haben vier neue npm-Pakete entdeckt, die Informations-Stealer-Malware enthalten. Ein Paket ist ein direkter Klon des von TeamPCP veröffentlichten Shai-Hulud-Wurms und wurde bereits von Cyberkriminellen zum Starten von Angriffen missbraucht.

Cybersicherheitsexperten haben vier neue npm-Pakete mit schädlicher Software identifiziert, von denen eines ein Klon des Shai-Hulud-Wurms ist, den das Team TeamPCP kürzlich offenlegte. Die betroffenen Pakete sind: chalk-tempalte (825 Downloads), @deadcode09284814/axios-util (284 Downloads), axois-utils (963 Downloads) und color-style-utils (934 Downloads).

Das Paket “chalk-tempalte” enthält einen direkten Klon des Shai-Hulud-Quellcodes. Wie OX Security berichtet, nutzte der Angreifer den Code nahezu unverändert und lud eine funktionierende Version mit eigenem Command-and-Control-Server in npm hoch. Gestohlene Anmeldedaten werden an den Server 87e0bbc636999b.lhr[.]life übermittelt und über einen gestohlenen GitHub-Token in ein neues öffentliches Repository exportiert.

Das Paket “axois-utils” ist darauf ausgelegt, einen auf Golang basierenden DDoS-Botnet namens Phantom Bot bereitzustellen. Dieser kann Zielwebsites mit HTTP-, TCP- und UDP-Protokollen überlasten und etabliert Persistenz auf Windows- und Linux-Systemen durch Einträge im Startup-Ordner und geplante Aufgaben.

Die beiden anderen Pakete, “@deadcode09284814/axios-util” und “color-style-utils,” stehlen SSH-Schlüssel, Umgebungsvariablen, Cloud-Anmeldedaten, Systeminformationen, IP-Adressen und Kryptowallet-Daten. Diese werden an die Server “80.200.28[.]28:2222” und “edcf8b03c84634.lhr[.]life” übertragen.

Alle vier Pakete wurden vom gleichen npm-Benutzer “deadcode09284814” veröffentlicht, nutzen aber unterschiedliche bösartige Mechanismen. Experten warnen, dass die Offenlegung des Shai-Hulud-Codes zu einer Welle von Supply-Chain-Angriffen führen wird. Benutzer sollten die Pakete sofort deinstallieren, alle verdächtigen Konfigurationen aus IDEs und Coding-Tools entfernen, ihre Geheimnisse zurücksetzen und den Zugriff auf verdächtige Domains blockieren.

Share on: