BEDROHUNG
SAP wurde Opfer eines Supply-Chain-Angriffs. Am 29. April waren für zwei bis vier Stunden vier bösartige npm-Pakete des Softwareherstellers über die von GitHub betriebene Registry npmjs.com verfügbar. Zusammen kommen die zur Anwendungsentwicklung genutzten Pakete wöchentlich auf 500.000 Downloads.
Nach Informationen von Socket enthielt die package.json der bösartigen Versionen ein Skript, das unmittelbar nach der Paketinstallation ein setup.mjs-Skript ausführt. Dieses lädt eine plattformspezifische Binary von GitHub herunter und startet die eigentliche Payload execution.js. Nach erfolgreicher Ausnutzung des Zielsystems entwendet die Malware Zugangsdaten für AWS, Kubernetes und Microsoft Azure sowie GitHub Secrets, npm-Token und Krypto-Wallet-Daten. Die Exfiltration läuft verschlüsselt über ein GitHub-Repository. Findet die Malware keine GitHub-Credentials, erstellt sie ein neues Konto und nutzt dieses.
Die Aktivität wird der Hackergruppe TeamPCP zugeschrieben, die bereits mit mehreren Supply-Chain-Kampagnen gegen Entwickler- und CI/CD-Umgebungen in Verbindung steht. Wer eine der vier bösartigen Paketversionen installiert hat, sollte diese entfernen und sämtliche mit den Paketen genutzten Zugangsinformationen rotieren.
Was jetzt zu tun ist:
- betroffene Systeme als kompromittiert betrachten
- bösartige Paketversionen entfernen und auf bereinigte Versionen aktualisieren
- Zugangsdaten aktualisieren
PRÄVENTION & DETEKTION
Cyber Threat Intelligence analysiert neueste Cyber Attacken und stellt Angriffstechniken und Angriffsmuster mit evidenzbasierten Informationen geordnet zur Verfügung. Mit den Dossiers aus der Cyber Threat Intelligence
sind wir vorbereitet: Wir können entsprechende Gegenmaßnahmen einleiten, um Angreifern einen Schritt voraus zu sein.
Autor: Michael Niers
