Bakso, Sate und Rendang\u00a0\u2013 schon mal was davon geh\u00f6rt? Vermutlich nicht. Nur Feinschmecker kennen diese Gerichte aus der indonesischen K\u00fcche. Und wer sich f\u00fcr Cybersicherheit interessiert, erinnert sich an einen Angriff auf das \u00d6kosystem \u201eNode Package Manager\u201c (npm). Mit diesem Tool k\u00f6nnen Entwickler vorgefertigte Bibliotheken verwenden, anstatt jede Codezeile neu zu schreiben.<\/p>\n
Mitte November meldete der Sicherheitsforscher Paul McCarty den Fund einer Spam-Kampagne, deren Ziel es war, die npm-Registry zu \u00fcberladen<\/a>. Nat\u00fcrlich waren in der Registrierung schon fr\u00fcher bedeutungslose Pakete aufgetaucht. In diesem Fall wurden jedoch Zehntausende von Modulen ohne n\u00fctzliche Funktion gefunden. Ihr einziger Zweck: v\u00f6llig unn\u00f6tige Abh\u00e4ngigkeiten in Projekte zu injizieren.<\/p>\n Die Paketnamen enthielten zuf\u00e4llige Namen indonesischer Gerichte und kulinarische Begriffe wie Bakso, Sate und Rendang. Daher auch der Spitzname dieser Kampagne: IndonesianFoods. Das Ausma\u00df war beeindruckend: Zum Zeitpunkt des Fundes waren etwa 86.000\u00a0Pakete identifiziert worden.<\/p>\n Wir schauen uns an, wie das passieren konnte und was die Angreifer eigentlich wollten.<\/p>\n Auf den ersten Blick sahen die Pakete von IndonesianFoods gar nicht nach Schrott aus. Sie hatten standardm\u00e4\u00dfige Strukturen und g\u00fcltige Konfigurationsdateien. Die Dokumentation war gut formatiert. Laut den Forschern von Endor Labs<\/a> war die gelungene Tarnung daf\u00fcr verantwortlich, dass die Pakete beinahe zwei Jahre lang in der npm-Registry \u00fcberleben konnten.<\/p>\n Die Angreifer versuchten gar nicht, ihre Erfindungen aggressiv in externe Projekte einzuf\u00fcgen. Stattdessen \u00fcberfluteten sie das \u00d6kosystem einfach mit legitim wirkendem Code und warteten ab, bis sich jemand vertippte oder eine der Bibliotheken versehentlich aus den Suchergebnissen ausw\u00e4hlte. Dabei bleibt unklar, wonach man suchen muss, um einen Paketnamen mit einem indonesischen Gericht zu verwechseln. Laut der urspr\u00fcnglichen Studie integrierten<\/a> aber mindestens 11 Projekte diese Pakete in ihre Builds.<\/p>\n Ein kleiner Teil dieser Junk-Pakete enthielt einen Selbstreplikationsmechanismus: Nach der Installation wurden alle sieben Sekunden neue Pakete erstellt und in der npm-Registry ver\u00f6ffentlicht. Die neuen Module hatten zuf\u00e4llige Namen (die sich ebenfalls auf die indonesische K\u00fcche bezogen) und Versionsnummern. Und wie zu erwarten, wurden sie unter Verwendung der Anmeldeinformationen des Opfers ver\u00f6ffentlicht.<\/p>\n Andere b\u00f6sartige Pakete wurden in die Blockchain-Plattform TEA integriert. Das TEA Project<\/a> wurde entwickelt, um Open-Source-Entwickler je nach Popularit\u00e4t und Nutzung ihres Codes mit Token zu belohnen. Das Modell basiert auf dem Nachweis von Beitr\u00e4gen (Proof of Contribution).<\/p>\n Ein erheblicher Teil dieser Pakete enthielt gar keine echte Funktionalit\u00e4t, daf\u00fcr aber oft ein Dutzend Abh\u00e4ngigkeiten, die auf andere Spam-Projekte innerhalb derselben Kampagne verwiesen. Sobald ein Opfer aus Versehen eines dieser sch\u00e4dlichen Pakete \u00fcbernimmt, kommen im Schlepptau mehrere andere Pakete mit \u00fcberraschenden Abh\u00e4ngigkeiten. Das Ergebnis: ein finales Projekt, das vor redundantem Code nur so strotzt.<\/p>\n Es gibt zwei grundlegende Theorien. Einerseits war die aufwendige Spam-Kampagne offensichtlich darauf ausgelegt, das oben erw\u00e4hnte TEA-Protokoll auszunutzen. Obwohl die Angreifer keinen n\u00fctzlichen Beitrag zur Open-Source-Community leisten, verdienen sie TEA-Token\u00a0\u2013 digitale Standard-Assets, die sich an B\u00f6rsen gegen andere Kryptow\u00e4hrungen eintauschen lassen. Durch vernetzte Abh\u00e4ngigkeiten und Selbstreplikationsmechanismen geben sich die Angreifer als legitime Open-Source-Entwickler aus und schrauben die Bedeutung und Nutzungsmetriken ihrer Pakete k\u00fcnstlich in die H\u00f6he. In den README-Dateien bestimmter Pakete prahlen die Angreifer sogar mit ihren Einnahmen.<\/p>\n Erschreckender ist die zweite Theorie. Der Forscher Garrett Calpouzos<\/a> nimmt beispielsweise an, dass es nur ein Machbarkeitsnachweis ist. Die IndonesianFoods-Kampagne k\u00f6nnte eine neue Methode zur Malware-Verbreitung testen, die sp\u00e4ter an andere Angreifer verkauft werden soll.<\/p>\n Die Gefahr f\u00fcr Software-Entwicklungsunternehmen ist nicht auf den ersten Blick erkennbar: IndonesianFoods \u00fcberl\u00e4dt zwar das \u00d6kosystem, aber im Gegensatz zu Ransomware oder Datenlecks scheint es keine unmittelbare Bedrohung zu bergen.\u00a0 Redundante Abh\u00e4ngigkeiten k\u00f6nnen den Code aber aufbl\u00e4hen und die Systemressourcen der Entwickler verschwenden. Dar\u00fcber hinaus k\u00f6nnen Junk-Pakete, die unter dem Namen deines Unternehmens ver\u00f6ffentlicht werden, deinen Ruf in der Entwickler-Community ernsthaft sch\u00e4digen.<\/p>\n Auch die Theorie von Calpouzos l\u00e4sst sich nicht einfach unter den Tisch kehren. Wenn solche Spam-Pakete in deine Software eingeschleust wurden und bei einem Update b\u00f6sartige Funktionen einf\u00fchren, ist nicht nur dein Unternehmen bedroht, sondern auch deine Nutzer sind in Gefahr. Und der Vorfall kann sich zu einem massiven Angriff auf die Lieferkette entwickeln.<\/p>\n Spam-Pakete wandern nicht einfach von selbst in ein Projekt. Zumindest an der Installation ist der Entwickler beteiligt. Unsere Empfehlung: Das Bewusstsein f\u00fcr moderne Cyberbedrohungen sollte bei deinen Mitarbeitern regelm\u00e4\u00dfig gesch\u00e4rft werden. Auch technisch versiertes Personal muss hier die Schulbank dr\u00fccken. Unsere interaktive Trainingsplattform KASAP (Kaspersky Automated Security Awareness Platform)<\/a> bietet daf\u00fcr weitreichende M\u00f6glichkeiten.<\/p>\n Infektionen lassen sich auch durch den Einsatz einer spezialisierten Schutzl\u00f6sung f\u00fcr Container-Umgebungen<\/a> verhindern. Sie untersucht Images und Abh\u00e4ngigkeiten von Drittanbietern, wird in den Entwicklungsprozess integriert und l\u00e4sst Container w\u00e4hrend der Ausf\u00fchrung nicht aus den Augen.<\/p>\nDie Zutaten von IndonesianFoods<\/h2>\n
Was haben die Angreifer davon?<\/h2>\n
Warum M\u00fcll nichts in deinen Projekten verloren hat<\/h2>\n
So kannst du dein Unternehmen sch\u00fctzen<\/h2>\n