Microsoft hat den jüngsten Mastra-Lieferkettenangriff mit Sapphire Sleet in Verbindung gebracht, einer nordkoreanischen Bedrohungsgruppe, die auch unter dem Namen BlueNoroff bekannt ist. Die Kampagne kompromittierte mehr als 140 npm-Pakete, nachdem Angreifer ein Maintainer-Konto übernommen und schädlichen Code in vertrauenswürdige Software-Updates eingeschleust hatten.

Der Vorfall betraf das Mastra-KI-Ökosystem und setzte Entwickler Malware aus, die darauf ausgelegt war, Anmeldedaten, Authentifizierungstoken, API-Schlüssel und Daten aus Kryptowallets zu stehlen. Die Zuordnung zu Sapphire Sleet fügt der wachsenden Liste von Angriffen auf Open-Source-Projekte eine weitere aufsehenerregende Lieferkettenoperation hinzu.

Angreifer kaperten ein vertrauenswürdiges npm-Konto

Laut Microsoft begann die Kampagne, nachdem die Angreifer Zugriff auf das npm-Konto „ehindero“ erlangt hatten. Das Konto verfügte über Veröffentlichungsrechte innerhalb der Mastra-Paketumgebung und verschaffte den Bedrohungsakteuren damit einen direkten Zugang zur Software-Lieferkette.

Nachdem sie die Kontrolle über das Konto übernommen hatten, veröffentlichten die Angreifer schädliche Updates in mehr als 140 Paketen. Da die Updates von einer vertrauenswürdigen Quelle stammten, hatten Entwickler kaum Anlass, Verdacht zu schöpfen.

Auf diese Weise konnte sich der schädliche Code über normale Software-Installationsprozesse verbreiten. Entwickler, die die betroffenen Pakete installierten, luden die Malware unwissentlich auf ihre Systeme herunter.

Bösartige Abhängigkeit verteilte Malware

Die Angreifer fügten den kompromittierten Paketen eine Abhängigkeit mit dem Namen „easy-day-js“ hinzu. Das Paket imitierte die legitime JavaScript-Bibliothek „dayjs“, eine Technik, die als Typosquatting bekannt ist.

Nach der Installation führte die Abhängigkeit ein Post-Install-Skript aus, das einen Malware-Dropper bereitstellte. Anschließend lud die Schadsoftware weitere Nutzlasten herunter, die sensible Informationen von den infizierten Systemen sammelten.

Die Forscher stellten fest, dass die Malware gezielt auf Entwicklerumgebungen abzielte. Zu den gestohlenen Daten gehörten Authentifizierungstoken, API-Zugangsdaten, Browserinformationen und Details aus Kryptowallets.

Die Zielauswahl entspricht stark früheren Kampagnen, die Sicherheitsforscher Sapphire Sleet zugeschrieben haben.

Microsoft macht Sapphire Sleet verantwortlich

Microsoft erklärt, mit hoher Wahrscheinlichkeit davon auszugehen, dass Sapphire Sleet hinter der Operation steckt. Die Gruppe hat eine lange Geschichte finanziell motivierter Cyberkriminalität und greift häufig Organisationen aus den Bereichen Kryptowährungen und Finanzdienstleistungen an.

Sicherheitsforscher beobachten Sapphire Sleet bereits seit Jahren. Die Gruppe kombiniert häufig Social Engineering, den Diebstahl von Zugangsdaten und Malware-Einsätze, um an wertvolle digitale Vermögenswerte zu gelangen.

Während nordkoreanische Bedrohungsakteure früher vor allem Behörden und Geheimdienstziele ins Visier nahmen, haben mehrere Gruppen ihren Fokus zunehmend auf gewinnorientierte Operationen verlagert. Der Diebstahl von Kryptowährungen gehört weiterhin zu ihren wichtigsten Zielen.

Der jüngste Angriff setzt diesen Trend fort, indem er Entwickler ins Visier nimmt, die Zugang zu sensiblen Daten und digitalen Vermögenswerten haben könnten.

Lieferkettenangriffe nehmen weiter zu

Der Vorfall verdeutlicht die wachsende Gefahr von Lieferkettenangriffen. Anstatt Organisationen direkt anzugreifen, kompromittieren die Täter vertrauenswürdige Softwarekomponenten, auf die zahlreiche Unternehmen angewiesen sind.

Diese Strategie ermöglicht es, über legitime Update-Mechanismen eine große Zahl von Opfern zu erreichen. Dadurch können selbst Organisationen mit starken Sicherheitsmaßnahmen über Abhängigkeiten von Drittanbietern gefährdet werden.

Open-Source-Ökosysteme sind besonders attraktive Ziele, da Entwickler Pakete häufig direkt aus öffentlichen Repositories installieren. Ein einziges kompromittiertes Maintainer-Konto kann innerhalb weniger Stunden Tausende nachgelagerte Nutzer betreffen.

Sicherheitsteams empfehlen daher zunehmend strengere Paketüberwachung, gründlichere Prüfungen von Abhängigkeiten und stärkere Kontoschutzmaßnahmen für Software-Maintainer.

Fazit

Der Mastra-Lieferkettenangriff zeigt, wie schnell Angreifer vertrauenswürdige Software-Ökosysteme missbrauchen können, sobald sie Zugriff auf ein privilegiertes Konto erhalten. Microsofts Zuordnung zu Sapphire Sleet deutet darauf hin, dass die Operation Teil eines umfassenderen Versuchs war, Zugangsdaten und kryptobezogene Vermögenswerte zu stehlen.

Da Lieferkettenangriffe immer häufiger werden, benötigen Unternehmen eine bessere Transparenz über ihre Software-Abhängigkeiten sowie stärkere Kontrollen im Paketmanagement. Ohne solche Schutzmaßnahmen kann ein einziges kompromittiertes Update Risiken schaffen, die weit über das ursprüngliche Ziel hinausreichen.


0 Kommentare zu „Mastra-Lieferkettenangriff wird mit nordkoreanischen Hackern in Verbindung gebracht“