Es wurde ein bösartiges NPM-Paket gefunden, das sich als legitime Software-Bibliothek für Material Tailwind ausgibt. Dies zeigt einmal mehr, dass Bedrohungsakteure versuchen, bösartigen Code in Open-Source-Software-Repositories zu verbreiten.
Material Tailwind ist ein CSS-basiertes Framework, das von seinen Betreibern als „einfach zu verwendende Komponentenbibliothek für Tailwind CSS und Material Design“ beworben wird.
„Das bösartige npm-Paket von Material Tailwind gibt sich zwar als hilfreiches Entwicklungswerkzeug aus, verfügt aber über ein automatisches Nachinstallationsskript“, so Karlo Zanki, Sicherheitsforscher bei ReversingLabs, in einem Bericht an The Hacker News.
Dieses Skript wurde entwickelt, um eine kennwortgeschützte ZIP-Archivdatei herunterzuladen, die eine ausführbare Windows-Datei enthält, mit der PowerShell-Skripte ausgeführt werden können.
Das betrügerische Paket mit dem Namen material-tailwindcss wurde bisher 320 Mal heruntergeladen, und zwar ausschließlich am 15. September 2022.
In einer Taktik, die immer häufiger angewandt wird, scheint der Bedrohungsakteur die Funktionalität des Originalpakets sorgfältig nachgeahmt zu haben, während er heimlich ein Nachinstallationsskript verwendet, um die bösartigen Funktionen einzuführen.
Es handelt sich dabei um eine ZIP-Datei, die von einem Remote-Server abgerufen wird und eine Windows-Binärdatei enthält, die den Namen „DiagnosticsHub.exe“ trägt, wahrscheinlich um die Nutzlast als Diagnoseprogramm auszugeben.
Code für Stufe 2 herunterladen
Die ausführbare Datei enthält Powershell-Codefragmente, die für die Befehlssteuerung, die Kommunikation, die Prozessmanipulation und die Einrichtung der Persistenz mittels einer geplanten Aufgabe zuständig sind.
Das typosquatted Material Tailwind-Modul ist der jüngste in einer langen Liste von Angriffen, die in den letzten Jahren auf Open-Source-Software-Repositories wie npm, PyPI und RubyGems gerichtet waren.
Der Angriff dient auch dazu, die Software-Lieferkette als Angriffsfläche hervorzuheben, die aufgrund der kaskadenartigen Auswirkungen, die Angreifer durch die Verteilung von bösartigem Code haben können, der auf einmal über mehrere Plattformen und Unternehmensumgebungen hinweg Schaden anrichten kann, immer mehr an Bedeutung gewonnen hat.
Die Bedrohungen in der Lieferkette haben auch die US-Regierung dazu veranlasst, ein Memo zu veröffentlichen, in dem die Bundesbehörden angewiesen werden, „nur Software zu verwenden, die mit den Standards für sichere Softwareentwicklung übereinstimmt“ und „eine Selbstbestätigung für alle Software von Drittanbietern“ einzuholen.
„Die Gewährleistung der Integrität von Software ist der Schlüssel zum Schutz von Bundessystemen vor Bedrohungen und Schwachstellen und zur Verringerung des Gesamtrisikos von Cyberangriffen“, erklärte das Weiße Haus letzte Woche.
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
IT-Sicherheit: Erkenntnisse aus dem Wiseasy-Hack