Malware geïnjecteerd in populaire npm-packages met 2,6 miljard downloads

[Captain Kirk]

Een aanvaller is erin geslaagd via een supply chain-aanval malware te injecteren in populaire npm-packages. De getroffen packages worden wekelijks ruim 2,6 miljard keer gedownload. Dit bevestigt Josh Junon, die de getroffen packages beheert.

Junon is getroffen door een phishingaanval. De ontwikkelaar kreeg een e-mail toegestuurd die verwees naar een malafide website die sprekend lijkt op de legitieme website van npm. In deze e-mail stond dat de accounts van Junon op 10 september zouden worden geblokkeerd, tenzij hij zijn tweefactorauthenticatie (2FA) zou updaten. De aanvaller wist zo toegang te krijgen tot accounts van de ontwikkelaar. Op GitHub zijn berichten verschenen van andere ontwikkelaars die melden dezelfde e-mail te hebben ontvangen.

Aikido Security onderzocht de aanval en meldt dat de aanvallers getroffen packages hebben geüpdatet, waarbij malafide code in de packages is geïnjecteerd. Deze malware maakt het mogelijk netwerkverkeer en applicatie-API's te hijacken. Daarbij zoekt de malware onder meer naar adressen en transacties van cryptowallets, waarbij transacties worden aangepast en doorgeleid naar wallets die onder beheer van de aanvaller staan. Specifiek zoekt de malware naar Bitcoin, Bitcoin Cash, Ethereum, Litecoin, Solana en Tron.

 

bron: https://www.security.nl