Ein neuer Supply-Chain-Angriff trifft das npm-Paket node-ipc, das wöchentlich mehr als 690.000 Downloads verzeichnet und Inter-Prozess-Kommunikation über Unix-, Windows-, UDP-, TLS- und TCP-Sockets bereitstellt. Betroffen sind laut mehreren Security-Anbietern die Versionen 9.1.6, 9.2.3 und 12.0.1.
Nach Analyse von Socket liegt der bösartige Code im CommonJS-Entrypoint node-ipc.cjs und läuft automatisch, sobald eine Anwendung das Modul lädt. Anders als bei vielen npm-Kampagnen setzen die Angreifer nicht auf ein klassisches postinstall-Skript, sondern auf die Ausführung beim Modul-Load. Die Payload erstellt einen Host-Fingerprint, sammelt Umgebungsvariablen und durchsucht lokale Dateien nach Zugangsdaten und Konfigurationen.
Zur Exfiltration nutzt die stark obfuskierte Malware DNS-TXT-Queries statt HTTP-basierten C2-Traffics, was die Erkennung deutlich erschwert. Ein komprimiertes Archiv von 500 KB erzeugt laut Socket rund 29.400 TXT-Anfragen, die im regulären DNS-Verkehr untergehen können. Die Malware greift SSH-Keys, Konfigurationsdateien, Logindaten für AWS, Azure und GCP sowie Tokens für npm, GitHub, GitLab und die Git-CLI ab.
Was jetzt zu tun ist:
- Betroffene Versionen sofort entfernen
- Alle potenziell exponierten Secrets rotieren
- DNS-Logs auf auffällige TXT-Anfragen prüfen
Lockfiles und npm-Caches auf kompromittierte Versionen durchsuchen
PRÄVENTION & DETEKTION
Im ConSecur Cyber Defence Center erkennen wir Sicherheitsereignisse in Netzwerkinfrastrukturen - zügig und 24/7- bevor sie Schaden anrichten.Mit ein SIEM Tool, wie IBM QRadar oder Splunk erkennen wir Sicherheitsereignisse in Netzwerk Infrastrukturen zuverlässig und zügig.Durch die Kombination aus CDC-Monitoring, leistungsstarken SIEM UseCases und EDR gestützter Verhaltensanalyse bieten wir zuverlässige Erkennung und Reaktion gegen Bedrohungen. So können die schadhaften Pakete auf den betroffenen Geräten unmittelbar erkannt werden.
Mit unserem Threat Hunting identifizieren wir proaktiv versteckte Cyberangriffe in Ihrer IT‑Umgebung, bevor Schaden entsteht, und stärken so nachhaltig Ihre Sicherheitslage und Resilienz.
Autor: Michael Niers
