Thought Leadership
Kriminelle verbreiten manipulierte npm-Pakete, die sich als PostCSS-Werkzeuge tarnen, um einen Fernzugriffstrojaner auf Windows-Systemen zu installieren.
IT-Sicherheitsforscher des Unternehmens JFrog haben mehrere schädliche Pakete im npm-Repository identifiziert, die darauf ausgelegt ist, einen Fernzugriffstrojaner (RAT) auf Windows-Systemen zu installieren. Die betroffenen Pakete tragen die Bezeichnungen aes-decode-runner-pro, postcss-minify-selector und postcss-minify-selector-parser. Veröffentlicht wurden sie von einem Nutzer namens abdrizak. Die Benennung orientiert sich gezielt an der legitimen Bibliothek postcss-selector-parser, die wöchentlich über 127 Millionen Downloads verzeichnet.
Der Infektionsverlauf startet mit einem im Paket integrierten JavaScript-Dropper, der ein PowerShell-Skript namens settings.ps1 auf die Festplatte schreibt und ausführt. Dieses Skript lädt über das Systemwerkzeug curl.exe ein ZIP-Archiv von dem externen Server nvidiadriver.net herunter. Aus dem Archiv wird ein Visual Basic Script mit dem Namen update.vbs extrahiert und mittels wscript.exe gestartet.
Dieses VBScript richtet eine mitgelieferte Python-Laufzeitumgebung ein und startet das Skript loader.py. Die eigentliche Schadfunktion ist in vorkompilierten Python-Erweiterungsmodulen hinterlegt. Der Trojaner liest Systeminformationen aus, stiehlt Anmeldedaten sowie Erweiterungsdaten aus dem Browser Google Chrome unter Umgehung der App-Bound-Encryption-Schutzmechanismen und verbindet sich mit dem Kontrollserver unter der IP-Adresse 95.216.92.207. Die Analysten von JFrog kommentierten die Tarnung der Pakete:
„Dieser Fall zeigt, wie ein kleines, Parser-ähnliches Paket eine mehrstufige Windows-Nutzlast verbergen kann, während es den Eindruck erweckt, mit legitimen Build-Werkzeugen mit massiver wöchentlicher Nutzung verwandt zu sein.“
JFrog
Weitere Kampagnen gegen das TypeScript- und GitHub-Ökosystem
Die Entdeckung der PostCSS-Nachahmungen überschneidet sich mit mehreren anderen Schadsoftware-Kampagnen, die zeitgleich Entwicklerplattformen angetrieben haben. Folgende Bedrohungen wurden parallel identifiziert:
- Das npm-Paket apintergrationpost schleust einen funktionsreichen Linux-Trojaner namens MYRA ein. Dieser kompiliert während der Installation ein C-basiertes Rootkit, etabliert drei Persistenzmechanismen, maskiert sich als systemd-Dienst und ermöglicht interaktiven Shell-Zugriff inklusive Live-Bildschirmübertragung.
- Das Paket @withgoogle/stitch-sdk imitiert ein KI-Designwerkzeug von Google, zielt jedoch auf den Diebstahl sensibler Entwickler-Anmeldedaten ab. Betroffen sind vertrauliche Konfigurationsdaten von Claude Code, Git-Credentials, SSH-Schlüssel, GitHub CLI, npm-Konfigurationen und Docker-Zugänge.
- Eine aus Pip- und npm-Strukturen bekannte Gruppe um die Bibliotheken procwire und routecraft lädt während des Installationsprozesses unbemerkt schädliche Binärdateien auf Windows-Systeme nach.
Zusätzlich verzeichnen Forscher von SafeDep Angriffe auf das Knowledge-Graph-Werkzeug gonex-AI/Understand-Anything. Die dort eingeschleuste Nutzlast kommuniziert über öffentliche Blockchain-Infrastrukturen wie das Tron-Netzwerk und Binance Smart Chain Transaktions-Hashes, um Steuerungsbefehle abzurufen. Diese Aktivität weist Überschneidungen mit einer nordkoreanischen Kampagne namens PolinRider auf. Bei dieser Operation wurde manipulierter JavaScript-Code in die Konfigurationsdateien von fast 2.000 kompromittierten GitHub-Repositories injiziert, um den BeaverTail-Stealer und die InvisibleFerret-Hintertür zu verbreiten. Betroffenen Entwicklern wird dringend empfohlen, die kompromittierten Pakete vollständig zu entfernen und sämtliche Passwörter sowie kryptografischen Schlüssel der betroffenen Systeme zu ändern.
(red)
