Neue NPM-Lieferkettenbedrohung gefährdet ENS- und Kryptowährungssicherheit
Ein signifikanter JavaScript-Lieferkettenangriff hat über 400 Softwarepakete kompromittiert, darunter mindestens 10, die innerhalb des Kryptowährungs-Ökosystems stark genutzt werden. Der Vorfall wurde von der Cybersicherheitsfirma Aikido Security aufgedeckt und hebt die sich entwickelnde Bedrohungslandschaft hervor, mit der Entwickler und Benutzer gleichermaßen konfrontiert sind.
In einem detaillierten Blogbeitrag umriss der Forscher Charlie Eriksen den Umfang der Infektion und identifizierte Pakete, die mit der Malware „Shai Hulud“ infiziert sind – einem autonomen, sich selbst replizierenden Stamm, der darauf ausgelegt ist, sich in Entwicklerumgebungen auszubreiten. Eriksen bestätigte die Gültigkeit jeder Erkennung, um falsche Positive zu vermeiden. Viele dieser Pakete sind für kritische Funktionen verantwortlich, wobei einige wöchentlich Zehntausende von Downloads erhalten, was die weitreichenden potenziellen Auswirkungen betont.
Besonders besorgniserregend sind die betroffenen Pakete, die mit dem Ethereum Name Service (ENS) verbunden sind, der menschenlesbare Blockchain-Adressen ermöglicht. Besonders hervorzuheben sind ENS’s content-hash, mit fast 36.000 wöchentlichen Downloads, und address-encoder, mit über 37.500 wöchentlichen Downloads. Weitere ENS-Pakete, wie ensjs, ens-validation, ethereum-ens und ens-contracts, sind ebenfalls kompromittiert. Ein separates Paket, crypto-addr-codec, das nicht mit ENS verbunden ist und fast 35.000 wöchentliche Downloads hat, war ebenfalls betroffen.
Dieser Vorfall ist Teil eines breiteren Trends von Lieferkettenangriffen. Im September führte der bisher größte NPM-Angriff zu einem Diebstahl von etwa 50 Millionen USD aus Krypto-Vermögenswerten. Amazon Web Services hob hervor, dass diesem Vorfall die Verbreitung des Shai-Hulud-Wurms folgte, der sich nach dem ursprünglichen Verstoß in verschiedenen Umgebungen replizierte.
Im Gegensatz zu früheren gezielten Diebstählen agiert Shai Hulud hauptsächlich als Anmeldeinformationen-Dieb, der autonom verbreitet und Wallet-Schlüssel sowie andere Geheimnisse erntet, die in infizierten Umgebungen gespeichert sind. Diese Fähigkeit stellt eine erhebliche Bedrohung für die Sicherheit von Blockchain-Vermögenswerten dar, wenn solche Geheimnisse unsicher gespeichert werden.
Unter den betroffenen Paketen sind mindestens 10 direkt mit Kryptowährungsfunktionen verbunden, die überwiegend mit dem ENS-Ökosystem verknüpft sind. Pakete wie content-hash, mit fast 36.000 wöchentlichen Downloads, und address-encoder, die 37.500 Downloads überschreiten, sind kritische Komponenten, die von Entwicklern verwendet werden, um Adress- und Namensauflösungen zu verwalten. Weitere wichtige betroffene Pakete sind ensjs, ens-validation, ethereum-ens und ens-contracts.
Über Krypto hinaus sind mehrere Nicht-Krypto-Pakete kompromittiert, darunter beliebte Tools von Zapier, wie @zapier/secret-scrubber, mit über 40.000 wöchentlichen Downloads. Eriksen warnte, dass betroffene Pakete mit hohen Downloadzahlen, einige davon mit fast 70.000 wöchentlichen Downloads, die weitreichende Reichweite der Malware verdeutlichen.
Forscher von Wiz schätzen, dass über 25.000 Repositories bei Hunderten von Nutzern betroffen sind, wobei alle 30 Minuten neue kompromittierte Repositories hinzugefügt werden. Die Cybersicherheitsgemeinschaft fordert sofortige Untersuchungen und Abhilfemaßnahmen für jede Umgebung, die npm-Pakete verwendet.
