Lieferkette
Bakso, Sate und Rendang – schon mal was davon gehört? Vermutlich nicht. Nur Feinschmecker kennen diese Gerichte aus der indonesischen Küche. Und wer sich für Cybersicherheit interessiert, erinnert sich an einen Angriff auf das Ökosystem „Node Package Manager“ (npm). Mit diesem Tool können Entwickler vorgefertigte Bibliotheken verwenden, anstatt jede Codezeile neu zu schreiben.
Mitte November meldete der Sicherheitsforscher Paul McCarty den Fund einer Spam-Kampagne, deren Ziel es war, die npm-Registry zu überladen. Natürlich waren in der Registrierung schon früher bedeutungslose Pakete aufgetaucht. In diesem Fall wurden jedoch Zehntausende von Modulen ohne nützliche Funktion gefunden. Ihr einziger Zweck: völlig unnötige Abhängigkeiten in Projekte zu injizieren.
Die Paketnamen enthielten zufällige Namen indonesischer Gerichte und kulinarische Begriffe wie Bakso, Sate und Rendang. Daher auch der Spitzname dieser Kampagne: IndonesianFoods. Das Ausmaß war beeindruckend: Zum Zeitpunkt des Fundes waren etwa 86.000 Pakete identifiziert worden.
Wir schauen uns an, wie das passieren konnte und was die Angreifer eigentlich wollten.
Die Zutaten von IndonesianFoods
Auf den ersten Blick sahen die Pakete von IndonesianFoods gar nicht nach Schrott aus. Sie hatten standardmäßige Strukturen und gültige Konfigurationsdateien. Die Dokumentation war gut formatiert. Laut den Forschern von Endor Labs war die gelungene Tarnung dafür verantwortlich, dass die Pakete beinahe zwei Jahre lang in der npm-Registry überleben konnten.
Die Angreifer versuchten gar nicht, ihre Erfindungen aggressiv in externe Projekte einzufügen. Stattdessen überfluteten sie das Ökosystem einfach mit legitim wirkendem Code und warteten ab, bis sich jemand vertippte oder eine der Bibliotheken versehentlich aus den Suchergebnissen auswählte. Dabei bleibt unklar, wonach man suchen muss, um einen Paketnamen mit einem indonesischen Gericht zu verwechseln. Laut der ursprünglichen Studie integrierten aber mindestens 11 Projekte diese Pakete in ihre Builds.
Ein kleiner Teil dieser Junk-Pakete enthielt einen Selbstreplikationsmechanismus: Nach der Installation wurden alle sieben Sekunden neue Pakete erstellt und in der npm-Registry veröffentlicht. Die neuen Module hatten zufällige Namen (die sich ebenfalls auf die indonesische Küche bezogen) und Versionsnummern. Und wie zu erwarten, wurden sie unter Verwendung der Anmeldeinformationen des Opfers veröffentlicht.
Andere bösartige Pakete wurden in die Blockchain-Plattform TEA integriert. Das TEA Project wurde entwickelt, um Open-Source-Entwickler je nach Popularität und Nutzung ihres Codes mit Token zu belohnen. Das Modell basiert auf dem Nachweis von Beiträgen (Proof of Contribution).
Ein erheblicher Teil dieser Pakete enthielt gar keine echte Funktionalität, dafür aber oft ein Dutzend Abhängigkeiten, die auf andere Spam-Projekte innerhalb derselben Kampagne verwiesen. Sobald ein Opfer aus Versehen eines dieser schädlichen Pakete übernimmt, kommen im Schlepptau mehrere andere Pakete mit überraschenden Abhängigkeiten. Das Ergebnis: ein finales Projekt, das vor redundantem Code nur so strotzt.
Was haben die Angreifer davon?
Es gibt zwei grundlegende Theorien. Einerseits war die aufwendige Spam-Kampagne offensichtlich darauf ausgelegt, das oben erwähnte TEA-Protokoll auszunutzen. Obwohl die Angreifer keinen nützlichen Beitrag zur Open-Source-Community leisten, verdienen sie TEA-Token – digitale Standard-Assets, die sich an Börsen gegen andere Kryptowährungen eintauschen lassen. Durch vernetzte Abhängigkeiten und Selbstreplikationsmechanismen geben sich die Angreifer als legitime Open-Source-Entwickler aus und schrauben die Bedeutung und Nutzungsmetriken ihrer Pakete künstlich in die Höhe. In den README-Dateien bestimmter Pakete prahlen die Angreifer sogar mit ihren Einnahmen.
Erschreckender ist die zweite Theorie. Der Forscher Garrett Calpouzos nimmt beispielsweise an, dass es nur ein Machbarkeitsnachweis ist. Die IndonesianFoods-Kampagne könnte eine neue Methode zur Malware-Verbreitung testen, die später an andere Angreifer verkauft werden soll.
Warum Müll nichts in deinen Projekten verloren hat
Die Gefahr für Software-Entwicklungsunternehmen ist nicht auf den ersten Blick erkennbar: IndonesianFoods überlädt zwar das Ökosystem, aber im Gegensatz zu Ransomware oder Datenlecks scheint es keine unmittelbare Bedrohung zu bergen. Redundante Abhängigkeiten können den Code aber aufblähen und die Systemressourcen der Entwickler verschwenden. Darüber hinaus können Junk-Pakete, die unter dem Namen deines Unternehmens veröffentlicht werden, deinen Ruf in der Entwickler-Community ernsthaft schädigen.
Auch die Theorie von Calpouzos lässt sich nicht einfach unter den Tisch kehren. Wenn solche Spam-Pakete in deine Software eingeschleust wurden und bei einem Update bösartige Funktionen einführen, ist nicht nur dein Unternehmen bedroht, sondern auch deine Nutzer sind in Gefahr. Und der Vorfall kann sich zu einem massiven Angriff auf die Lieferkette entwickeln.
So kannst du dein Unternehmen schützen
Spam-Pakete wandern nicht einfach von selbst in ein Projekt. Zumindest an der Installation ist der Entwickler beteiligt. Unsere Empfehlung: Das Bewusstsein für moderne Cyberbedrohungen sollte bei deinen Mitarbeitern regelmäßig geschärft werden. Auch technisch versiertes Personal muss hier die Schulbank drücken. Unsere interaktive Trainingsplattform KASAP (Kaspersky Automated Security Awareness Platform) bietet dafür weitreichende Möglichkeiten.
Infektionen lassen sich auch durch den Einsatz einer spezialisierten Schutzlösung für Container-Umgebungen verhindern. Sie untersucht Images und Abhängigkeiten von Drittanbietern, wird in den Entwicklungsprozess integriert und lässt Container während der Ausführung nicht aus den Augen.
Mehr Informationen über Kettenreaktionen bei Lieferkettenangriffen findest du in unserer Analyse Supply chain reaction: securing the global digital ecosystem in an age of interdependence. Sie basiert auf den Erkenntnissen von technischen Experten und zeigt, wie häufig Unternehmen mit Risiken in der Lieferkette und bei vertrauenswürdigen Beziehungen konfrontiert sind, und sich diese Gefahren erkennen lassen.
Tipps