Die auf das JavaScript-Entwicklungssystem abzielende Schadsoftware “沙虫(Shai Hulud)” entwickelt sich ständig weiter, und das Niveau der Software Lieferkette Angriffe wurde als weiter gestiegen bestätigt. Neueste Analysen zeigen, dass diese Schadsoftware über das frühere Niveau der bloßen Durchdringung einzelner Softwarepakete hinausgegangen ist und in der Lage ist, Entwickler in unbewusste und kontinuierlich infizierte Vermittler zu verwandeln, wodurch ein automatisches Verbreitungssystem entstanden ist.
Laut einem Bericht des Sicherheitsunternehmens Expel verfügen die kürzlich aufgetauchten Varianten der Sandwürmer über eine Struktur, die es ihnen ermöglicht, automatisch Entwicklerumgebungen zu infizieren und über die von ihnen verwalteten npm-Registrierungen eine erneute Verbreitung durchzuführen. Dieser bösartige Code führt in der Installationsphase ein mit einem Virus infiziertes npm-Paket aus, das in zwei Schritten das Programm infiziert. Zunächst wird, falls die “Bun” JavaScript-Laufzeitumgebung nicht im Zielsystem installiert ist, diese automatisch installiert; anschließend wird durch komplex obfuskierten Payloads im Hintergrund zur Durchführung von Anmeldeinformationen-Diebstahl, Datenlecks und erneuten Infektionen angeregt.
Dieser spezielle Variant ist besonders bemerkenswert, da ihre Methode zur Sammlung von Anmeldeinformationen sehr raffiniert ist. Sie nutzt die Geheimnisverwaltungssysteme der wichtigsten Cloud-Infrastrukturen wie AWS Secrets Manager, Microsoft Azure Key Vault und Google Cloud Secret Manager, um zusätzlich sensible Daten zu extrahieren. Es wurde bestätigt, dass sie auch lokal umfassend NPM-Release-Token, GitHub-Authentifizierungsinformationen und sogar Cloud-Schlüssel sammelt. Das bei diesem Prozess verwendete Tool ist TruffleHog, ein Werkzeug, das automatisch nach hartcodierten geheimen Informationen aus Quellcode, Konfigurationsdateien, Git-Protokollen usw. sucht.
Die typischste Taktik von Sandwürmern besteht darin, die Infrastruktur von GitHub auszunutzen. Im Gegensatz zu früheren Methoden, bei denen bösartiger Code zur Verbindung mit dem Kommando- und Kontrollserver (C2) verwendet wurde, lädt dieser bösartige Code die gestohlenen Informationen in öffentliche Repositories hoch und registriert die infizierten Geräte als selbstgehostete Runner für GitHub Actions. Dies ermöglicht es externen Akteuren, kontinuierlich remote Zugriff zu erhalten, wobei die Angreifer die Konten infizierter Entwickler als Waffe nutzen, um anderen Paketen bösartigen Code einzuschleusen und so die Verbreitung der Infektion durch die automatische erneute Registrierung der geänderten Versionen bei npm zu erweitern.
Der Bericht besagt, dass bis jetzt schätzungsweise über 25.000 infizierte Repositories und Hunderte betroffene Pakete festgestellt wurden. Darunter sind auch beliebte Werkzeuge, die in der Open-Source-Community weit verbreitet sind.
Expel warnt durch diesen Fall, dass die “Vertrauensschicht” der Software Lieferkette nicht mehr sicher ist. Während Sandwurm das JavaScript-Ökosystem angegriffen hat, könnten auch andere Sprachgemeinschaften mit ähnlichen Vertrauensbasen wie Python(PyPI), Ruby(RubyGems) und PHP(Composer) ebenfalls ähnlichen Angriffen ausgesetzt sein. Das Auftreten von selbstverbreitendem bösartigem Code im Ökosystem der Entwicklungstools könnte in Zukunft zu nachhaltigeren und umfassenderen Bedrohungen führen, was beachtet werden muss.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
