Sicherheitsforscher haben eine neue Welle des PhantomRaven-NPM-Angriffs entdeckt. Dabei handelt es sich um eine Kampagne, die bösartige Pakete über das npm-Register verbreitet, um Entwicklerdaten zu stehlen. Die Operation richtet sich gegen Programmierer, die während ihrer normalen Entwicklungsarbeit unwissentlich infizierte Abhängigkeiten installieren.
Ermittler entdeckten 88 bösartige Pakete, die über Dutzende gefälschte npm-Konten veröffentlicht wurden. Auf den ersten Blick wirken die Pakete legitim. Tatsächlich enthalten sie jedoch versteckte Mechanismen, die sensible Informationen aus Entwicklerumgebungen sammeln.
Die Kampagne zeigt, wie Angreifer weiterhin Open-Source-Ökosysteme ausnutzen. Indem sie Malware in Entwicklungswerkzeuge einbetten, können Bedrohungsakteure unbemerkt Software-Lieferketten infiltrieren und wertvolle Zugangsdaten stehlen.
PhantomRaven-Kampagne breitet sich im NPM-Ökosystem aus
Die jüngste PhantomRaven-Aktivität erweitert frühere Kampagnen, die mit derselben Operation in Verbindung stehen. Forscher identifizierten 88 neu veröffentlichte bösartige Pakete, von denen viele über temporäre Entwicklerkonten hochgeladen wurden.
Die Pakete imitieren legitime Entwicklungsbibliotheken und Tools, die häufig in JavaScript-Projekten verwendet werden. Entwickler können sie installieren, wenn sie nach nützlichen Werkzeugen suchen oder automatischen Empfehlungen während des Programmierens folgen.
Da npm Millionen von Open-Source-Paketen enthält, können bösartige Bibliotheken leicht im Ökosystem untergehen, ohne sofort Verdacht zu erregen. Dieses Umfeld ermöglicht es Angreifern, schädlichen Code an eine große Zahl von Entwicklern zu verteilen.
Slopsquatting verleitet Entwickler zur Installation von Malware
Der PhantomRaven-NPM-Angriff nutzt stark eine Technik namens Slopsquatting. Dabei veröffentlichen Angreifer Pakete mit Namen, die legitimen Bibliotheken oder Tools ähneln, die von automatischen Code-Assistenten vorgeschlagen werden.
Entwickler verlassen sich zunehmend auf KI-Tools und Codevorschläge beim Erstellen von Anwendungen. Wenn eine empfohlene Abhängigkeit vertrauenswürdig erscheint, wird sie häufig ohne gründliche Überprüfung installiert.
Bösartige Akteure nutzen dieses Verhalten aus, indem sie Pakete erstellen, die echten Bibliotheken stark ähneln. Nach der Installation führt die infizierte Abhängigkeit heimlich versteckte Skripte aus, die sensible Informationen sammeln.
Remote Dynamic Dependencies verbergen die Malware
Die Angreifer verwenden eine Umgehungstechnik namens Remote Dynamic Dependencies. Anstatt den schädlichen Code direkt in das npm-Paket einzubetten, verweist das Paket auf eine externe Abhängigkeit, die auf einem entfernten Server gehostet wird.
Wenn ein Entwickler den üblichen Installationsbefehl ausführt, lädt der Paketmanager diese externe Komponente herunter und führt sie automatisch aus. Da das ursprüngliche Paket sauber erscheint, erkennen automatisierte Sicherheitsprüfungen das bösartige Verhalten oft nicht.
Diese Technik ermöglicht es Angreifern, traditionelle Scan-Systeme zu umgehen, die nur den Code innerhalb des veröffentlichten Pakets analysieren.
Malware zielt auf Entwickler-Zugangsdaten und Tokens
Sobald das bösartige Paket ausgeführt wird, beginnt die Malware damit, sensible Informationen aus der Entwicklerumgebung zu sammeln. Zu den gestohlenen Daten können Zugangsdaten, Konfigurationsdateien und Authentifizierungstokens gehören, die auf dem System gespeichert sind.
Forscher beobachteten Versuche, Informationen aus gängigen Konfigurationsdateien von Entwicklungswerkzeugen zu sammeln. Diese Dateien enthalten häufig Anmeldedaten und Tokens für den Zugriff auf Code-Repositories oder automatisierte Build-Pipelines.
Die Malware versucht außerdem, Umgebungsvariablen auszulesen, die API-Schlüssel oder Deployment-Geheimnisse enthalten können. In einigen Fällen sucht sie gezielt nach CI/CD-Tokens, die mit Build-Systemen und Software-Repositories verbunden sind.
Solche Zugangsdaten können Angreifern direkten Zugriff auf private Code-Repositories und Entwicklungsinfrastrukturen ermöglichen.
Software-Lieferketten bleiben ein attraktives Ziel
Der PhantomRaven-NPM-Angriff spiegelt einen breiteren Trend wider, bei dem Cyberkriminelle den Softwareentwicklungsprozess ins Visier nehmen. Moderne Anwendungen sind stark von Drittanbieterbibliotheken abhängig. Dadurch kann eine einzige kompromittierte Abhängigkeit viele Projekte betreffen.
Indem sie Entwicklungswerkzeuge statt fertiger Software angreifen, erhalten Bedrohungsakteure einen mächtigen Einstiegspunkt in Unternehmenssysteme. Gestohlene Zugangsdaten können weitere Angriffe auf Repositories, Cloud-Plattformen und interne Infrastrukturen ermöglichen.
Organisationen sollten das Abhängigkeitsmanagement daher als kritische Sicherheitsschicht behandeln. Entwickler sollten Pakete sorgfältig überprüfen und installierte Abhängigkeiten auf ungewöhnliches Verhalten überwachen.
Fazit
Der PhantomRaven-NPM-Angriff zeigt, wie anfällig Software-Lieferketten weiterhin für geschickt getarnte bösartige Pakete sind. Durch das Veröffentlichen infizierter Bibliotheken, die legitime Werkzeuge imitieren, können Angreifer Entwicklerumgebungen infiltrieren und wertvolle Zugangsdaten sammeln.
Techniken wie Slopsquatting und Remote Dynamic Dependencies helfen der Malware dabei, traditionelle Sicherheitsprüfungen zu umgehen. Diese Methoden sorgen dafür, dass der schädliche Code erst nach der Installation aktiviert wird, was die Entdeckung erschwert.
Da Entwicklungsprozesse zunehmend auf Open-Source-Ökosysteme angewiesen sind, müssen Organisationen ihre Sicherheitskontrollen rund um das Abhängigkeitsmanagement stärken. Der Schutz von Entwicklerumgebungen ist heute entscheidend für die Sicherheit der gesamten Software-Lieferkette.
0 Kommentare zu „PhantomRaven-NPM-Angriff nutzt 88 schädliche Pakete, um Entwicklerdaten zu stehlen“