- Die Infektion umfasst mindestens zehn große Kryptopakete, die mit dem ENS-Ökosystem verbunden sind.
- Ein früherer NPM-Angriff Anfang September führte zu gestohlener Kryptowährung im Wert von 50 Millionen Dollar.
- Die Forscher fanden während der Untersuchung mehr als 25.000 betroffene Archive.
Eine neue Runde von NPM-Infektionen hat in der JavaScript-Community Besorgnis ausgelöst, da die Shai-Hulud-Malware weiterhin durch Hunderte von Softwarebibliotheken wandert.
Aikido Security hat bestätigt, dass mehr als 400 NPM-Pakete kompromittiert wurden, darunter mindestens 10, die im gesamten Krypto-Ökosystem weit verbreitet sind.
Das Ausmaß des Problems setzt Entwickler sofort unter Druck, das Risiko einzuschätzen, insbesondere diejenigen, die mit Blockchain-Tools und -Anwendungen arbeiten.
Die Enthüllung erfolgte am Montag, als Aikido Security eine detaillierte Liste kontaminierter Bibliotheken veröffentlichte, nachdem ungewöhnliches Verhalten auf NPM überprüft worden war.
Ein separater Beitrag des Forschers Charles Eriksen hob ebenfalls die Infektionsliste auf X hervor und lenkte die Aufmerksamkeit auf wichtige ENS-Pakete, die an dem Vorfall beteiligt waren.
Die Infektionen scheinen mit einem aktiven Lieferkettenangriff zusammenzuhängen, der in den letzten Wochen stattgefunden hat und einem Muster zunehmender Sicherheitsvorfälle in der JavaScript-Infrastruktur zusätzlichen Schwung verleiht.
Die Bedrohung erweitert sich über frühere NPM-Angriffe hinaus
Der Anstieg der Infektionen folgt auf einen großen NPM-Verstoß Anfang September. Dieser frühere Fall endete damit, dass Angreifer Krypto im Wert von 50 Millionen Dollar stahlen, was ihn zu einem der größten Vorfälle in der Lieferkette macht, die direkt mit Diebstahl digitaler Vermögenswerte in Verbindung stehen.
Laut Amazon Web Services folgte dem Angriff innerhalb einer Woche das Auftauchen von Shai Hulud, das sich autonom auf Projekte ausbreitete.
Während sich der erste Vorfall im September direkt gegen Krypto-Vermögenswerte richtete, handelt Shai Hulud anders. Es konzentriert sich darauf, Zugangsdaten aus jeder Umgebung zu sammeln, die ein infiziertes Paket herunterlädt. Wenn Wallet-Schlüssel vorhanden sind, werden sie wie jedes andere Geheimnis behandelt und extrahiert.
Diese Verhaltensänderung macht den neuen Vorfall umfassender.
Anstatt ein einziges Ziel zu verfolgen, integriert sich die Malware in Entwickler-Arbeitsabläufe und durchläuft Abhängigkeitsketten, wodurch die Wahrscheinlichkeit einer unbeabsichtigten Exposition sowohl bei Krypto- als auch bei Nicht-Krypto-Projekten erhöht wird.
ENS-Pakete stark betroffen
Die in der jüngsten Überprüfung betroffenen Krypto-Pakete zeigen eine deutliche Konzentration auf das Ethereum Name Service-Ökosystem. Mehrere ENS-bezogene Bibliotheken, viele mit zehntausenden wöchentlichen Downloads, erscheinen auf der kompromittierten Liste.
Dazu gehören content-hash, adressencoder, ensjs, ens-validation, ethereum-ens und ens-contracts.
Zur Untermauerung der Ergebnisse veröffentlichte Eriksen einen detaillierten X-Beitrag , in dem er die kompromittierten ENS-Pakete darlegte. Kurz darauf erweiterte ein zweites X-Update von Eriksen die breitere Ausbreitung von Infektionen und betrifft weitere Repositories.
Jedes ENS-Paket unterstützt Funktionen, die über Wallet-Schnittstellen, Blockchain-Anwendungen und Tools verwendet werden, die menschenlesbare Namen in maschinenlesbare Formate umwandeln.
Ihre Beliebtheit bedeutet, dass der Einfluss über direkte Maintainer hinaus bis hin zu nachgelagerten Entwicklern reicht, die für ihre Kernabläufe auf sie angewiesen sind.
Eine separate Krypto-Bibliothek, crypto-addr-codec, wurde ebenfalls unter den kompromittierten Paketen identifiziert. Obwohl es nicht mit ENS verwandt ist, wird es in Wallet-bezogenen Prozessen verwendet und hat wöchentlich hohen Traffic, weshalb seine Verunreinigung zu einem weiteren Prioritätsbereich für Sicherheitsüberprüfungen wird.
Wachsender Einfluss auf nicht-kryptobasierte Software
Der Spread beschränkt sich nicht auf digitale Vermögenstools. Auch mehrere Nicht-Krypto-Bibliotheken sind betroffen, darunter Pakete, die mit der Workflow-Automatisierungsplattform Zapier verbunden sind.
Einige davon berichten von wöchentlichen Downloads weit über vierzigtausend, was darauf hindeutet, dass die Malware Teile des JavaScript-Ökosystems erreicht hat, die nichts mit Blockchain-Aktivitäten zu tun haben.
Weitere in späteren Beiträgen hervorgehobene Bibliotheken zeigen noch höhere Vertriebsniveaus. Ein Paket hatte fast siebzigtausend wöchentliche Downloads.
Ein weiterer verzeichnete wöchentlichen Verkehr über anderthalb Millionen, was eine deutlich größere Abdeckung widerspiegelt, als frühe Berichte vermuten ließen.
Die rasche Expansion hat die Aufmerksamkeit anderer Sicherheitsteams auf sich gezogen. Forscher von Wiz gaben an, dass sie mehr als fünfundzwanzigtausend betroffene Repositories identifiziert hätten, die mit etwa dreihundertfünfzig Nutzern verknüpft sind.
Sie wiesen außerdem darauf hin, dass in den frühen Phasen der Untersuchung alle dreißig Minuten tausend neue Repositories hinzugefügt wurden.
Dieses Wachstumsniveau zeigt, wie schnell die Verunreinigung der Lieferkette sich beschleunigen kann, wenn Pakete sich über Abhängigkeitsnetzwerke hinweg replizieren.
Entwickler, die mit NPM zusammenarbeiten, wurden geraten, sofortige Überprüfungen durchzuführen, Umgebungen zu validieren und auf mögliche Exposition zu suchen.
Da Abhängigkeitsketten in mehreren Branchen miteinander verknüpft sind, könnten selbst Teams außerhalb des Kryptosektors unwissentlich infizierte Pakete integrieren.
