Angreifer manipulierten das npm-Paket WeaveDB von Arweave, um Schadsoftware zu verbreiten

Angreifer schleusten einen Infostealer in 36 npm-Pakete des Arweave-Ökosystems ein. Dieser zielte aufdent, SSH-Schlüssel und Exodus-Krypto-Wallet-Dateien ab. Das Sicherheitsunternehmen JFrog konnte den Angriff auf ein kompromittiertes Maintainer-Konto trac.

Die Schadsoftware heißt IronWorm und ist in Rust geschrieben. Sie aktiviert sich, sobald ein Entwickler ein npm-Paket installiert. Nach dem Start durchsucht sie den infizierten Computer nach 86 Umgebungsvariablen und 20 Anmeldeinformationsdateiendentvon JFrog Forschungsteam herausfand. Sie hat es auf AWS-Token, API-Schlüssel von Anthropic und OpenAI, npm-AuthentifizierungsdatendentDaten von Krypto-Wallets abgesehen.

Arweave-Projektpakete enthalten versteckte Rust-Malware

Angreifer kompromittierten einen npm-Account namens „asteroiddao“, der zur GitHub-Gruppe asteroid-dao gehört, die Teil des dezentralen Datenbankprojekts Arweave/WeaveDB ist.

Alle mit dem Konto „asteroiddao“ verknüpften Pakete wurden innerhalb kurzer Zeit neu veröffentlicht, wobei jede neue Version eine 976 KB große Linux-Datei im Verzeichnis tools/ enthielt.

Die Datei war so konfiguriert, dass sie automatischmaticeinen Preinstall- Hook in package.json, d. h. sie wurde gestartet, bevor npm überhaupt mit der Installation begann. Ein Opfer musste lediglich npm install.

Das Team von JFrog analysierte die Datei und stellte fest, dass sie so gepackt war, dass gängige Entpackungstools getäuscht werden konnten. Im Inneren befand sich ein umfangreiches Rust-Programm, dessen Zeichenketten einzeln verschlüsselt und jeweils separat gesperrt waren, was die Analyse erheblich erschwerte.

Als diese Zeichenketten schließlich entschlüsselt wurden, enthüllten sie GitHub-API-Endpunkte, Pfade zudent, gefälschte Bot-Konten, die mit echten GitHub-Benutzer-IDs verknüpft waren, und Vorlagen zum Einschleusen von Schadcode in andere Paketregistrierungen.

Gestohlene GitHub-Tokens ermöglichen es Schadsoftware, Commits zu pushen und weitere Repositories zu infizieren

Nachdem IronWorm diedenterlangt hatte, nutzte es diese, um Änderungen in Repositories zu übertragen, auf die das Opfer Zugriff hatte. Diese Änderungen schleusten dieselbe schädliche Binärdatei in andere Pakete ein, die dann auf npm veröffentlicht werden konnten und den nächsten Entwickler in der Kette gefährden konnten.

JFrog entdeckte 57 rückdatierte, schädliche Commits in neun GitHub -Organisationen. Die Commits verwendeten den Autorennamen „claude“ mit der E-Mail-Adresse [email protected]. Die Zeitstempel wurden gefälscht, um mit dem jeweils letzten legitimen Commit des Repositorys übereinzustimmen. Einer der Commits schien 13 Jahre alt zu sein, obwohl die GitHub Actions-Protokolle bestätigten, dass alle Push-Vorgänge innerhalb weniger Tage nach der Entdeckung erfolgten.

Zu den betroffenen Organisationen gehörten asteroid-dao, weavedb, ArweaveOasis und mehrere persönliche Accounts, die mit dem Entwickler „ocrybit“ in Verbindung stehen

IronWorm setzte zudem ein eBPF-Kernel-Rootkit ein, um sich auf infizierten Rechnern zu verstecken. Die Kommunikation mit dem Betreiber erfolgte über das Tor-Netzwerk. Der Rust-Compiler beließ den Quellcode des Rootkits in der Binärdatei – ein Betriebsfehler, der die Analyse erleichterte.

Eine Besonderheit ist, dass der Betreiber seine eigene Wiederherstellungsphrase für die Kryptowährungs-Wallet fest in die Malware einprogrammiert hat. JFrog schlussfolgerte, dass dies eine Sicherheitsmaßnahme war, um zu verhindern, dass der Angreifer während der Tests seine eigenendentabgreift.

Malware-Angriffe treffen npm immer wieder

Das Unternehmen für Anwendungssicherheit Ox Security erklärte , der Angriff sei frühzeitig erkannt worden, bevor er sich auf weitere Pakete auf npm ausbreiten konnte.

Die schädlichen Versionen wurden innerhalb eines Tages als veraltet markiert, und die meisten der rückdatierten Commits wurden kurz darauf von GitHub entfernt.

Am 14. Mai Hacker ein inaktives Entwicklerkonto für node-ipc aus, ein Paket mit über 822.000 wöchentlichen Downloads. Der Angriff erfolgte durch die erneute Registrierung der abgelaufenen E-Mail-Domain des Entwicklers und das Zurücksetzen des npm-Passworts. Drei kompromittierte Varianten enthielten SchadsoftwaredentDiebstahl von Zugangsdaten, die auf über 90 Kategorien von Entwicklergeheimnissen abzielte.

Die Sicherheitsfirmen Endor Labs und StepSecurity haben einen gleichzeitig stattfindenden, aber eigenständigen Angriff mit einer JavaScript-basierten Malware namens binding.gypdent, die im gleichen Zeitraum eine ähnliche Registry-Vergiftung und GitHub Actions-Infektion durchführte.

Entwickler, die eines der betroffenen WeaveDB-Pakete installiert haben, sollten alledentrotieren, die Sperrdateien auf unerwartete Versionsänderungen überprüfen und die Zwei-Faktor-Authentifizierung für ihre npm- und GitHub-Konten aktivieren.