Unbekannte infiltrieren Paketmanager npm und verseuchen Tools mit Schadcode
Die Betreiber des Paketmanagers npm warnen davor, dass Unbefugte die Pakete coa und rc trojanisiert haben.
Entwickler, die sich jüngst die Pakete coa oder rc aus dem Repository von npm für die JavaScript-Laufzeitumgebung Node.js heruntergeladen haben, haben ihren Computer mit hoher Wahrscheinlichkeit mit Schadcode infiziert. Problematisch ist, dass beide Pakete zusammengenommen pro Woche mehr als 20 Millionen mal heruntergeladen werden.
Der Grund für die mit Schadcode präparierten Pakete ist einem Twitter-Beitrag von npm zufolge ein kompromittierter Maintainer-Account. Sie geben an, den Account mittlerweile deaktiviert zu haben.
Diese Versionen sind manipuliert
Auf den jeweiligen Github-Seiten von coa (Command Line Parser) und rc (Configuration Loader) listen die Repository-Verantwortlichen die mit Schadcode versuchten Versionen auf:
- coa
2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1, 3.1.3
- rc
1.2.9, 1.3.9, 2.3.9
Die npm-Entwickler warnen davor, dass, wenn eins dieser Pakete installiert ist, der PC als vollständig kompromittiert angesehen werden sollte. Die Versionen coa 2.0.2 und rc 1.2.8 sind ihnen zufolge sauber. Sie warnen aber ausdrücklich davor, dass selbst nach dem Entfernen von trojanisierten Versionen immer noch von der Malware verbogene Systemeinstellungen zurückbleiben können. In so einem Fall kommt man in der Regel nicht um ein vollständiges Löschen und eine Neuinstallation des Systems nicht herum.
Trojaner-Alarm
Sicherheitsforschern zufolge soll der in den Paketen versteckte Schadcode den Qakbot-Trojaner auf Computern installieren. Dabei handelt es sich um eine Malware, die etwa Log-in-Daten mitschneiden kann.
Die Betreiber des Paketmanagers raten allen Maintainern, ihre Accounts zusätzlich über Zwei-Faktor-Authentifizierung (2FA) abzusichern. Ist diese Sicherheitsfunktion aktiv, benötigt man zum Einloggen neben dem korrekten Kennwort noch einen Extra-Code, den man sich beispielsweise auf ein Smartphone schicken lassen kann. Ist nun ein Angreifer im Besitz des Kennworts, kann er sich ohne den zweiten Faktor zu kennen nicht einloggen.
(des)
