BEDROHUNG
Ein als „IronWorm“ bezeichneter Infostealer hat im Rahmen eines Supply-Chain-Angriffs 36 npm-Pakete kompromittiert. Der in Rust geschriebene Wurm zielt auf Entwicklerumgebungen und Krypto-Wallets, kommuniziert über das Tor-Netzwerk und nutzt ein eBPF-Kernel-Rootkit, um Prozesse und Netzwerkverbindungen vor Detektionsmechanismen zu verbergen.
Laut JFrog nutzt die Malware gestohlene Zugangsdaten, um trojanisierte Versionen legitimer Pakete zu veröffentlichen und sich so zu replizieren. Die Vorgehensweise erinnert an Shai Hulud – unter anderem deshalb, weil dieselben Commit-Bezeichnungen verwendet wurden und vertrauenswürdige Entwickler-Workflows missbraucht werden.
Ein beobachteter Angriff ging vom kompromittierten Konto „asteroiddao“ aus. Der Account veröffentlichte Pakete mit eingebetteten Rust-ELF-Binärdateien, die ein preinstall-Skript bei der Installation automatisch ausführte. Anschließend durchsuchte die Malware Systeme nach Zugangsdaten, Tokens, Cloud- und CI/CD-Secrets sowie Wallet-Informationen. Die erbeuteten Daten schrieb sie teils in eine unauffällige Datei und lud sie als Build-Artefakt hoch – ein klassischer C2-Server für die Exfiltration entfällt damit. Laut Ox Security wurde der Wurm gestoppt, bevor er sich auf populäre Pakete ausbreiten konnte.
Was jetzt zu tun ist:
- Betroffene Paketversionen löschen oder auf bereinigte Versionen aktualisieren
- Secrets in Entwickler- und CI/CD-Umgebungen rotieren
2FA aktivieren
PRÄVENTION & DETEKTION
Mit einer EDR Lösung können bösartige Skripte durch Verhaltensanalyse, Anomalieerkennung und Echtzeit-Überwachung von Prozessen sowie deren Ausführungsumgebung zuverlässig identifiziert und gemeldet werden.
Autor: Michael Niers
