Onbekende aanvallers hebben malware weten te injecteren in meerdere npm-packages die gezamenlijk meer dan twee miljard keer per week worden gedownload. Daarmee worden cryptovalutastelers op geïnfecteerde systemen geïnstalleerd. De aanvallers lijken via phishing maintainers te hebben aangevallen.
Onder andere Aikido Security analyseerde de aanval, die plaatsvond op meerdere nopm-packages. Het gaat onder andere om meerdere packages om met ANSI-codes te werken, zoals ansi-regex, ansi-styles en strip-ansi. Aikido Security zegt dat zeker achttien packages werden geïnfecteerd, waarvan de vier populairste, namelijk strip-ansi, chalk, debug en ansi-styles, gezamenlijk meer dan een miljard keer per week werden gedownload. Alle achttien packages samen zouden wekelijks zelfs 2,6 miljard keer per week worden gedownload. Aikido noemt in ieder geval de volgende packages:
De packages worden allemaal gemaakt door Qix, het alias van maintainer Josh Junon. Hij erkent te zijn gephished. Volgens Junon kreeg hij een phishingmail waarin hij werd gevraagd zijn tweetrapsauthenticatiemethode voor npmjs.com aan te passen. Daarop wisten de aanvallers toegang te krijgen tot alle packages en daarin malware mee te sturen.
De malware die vervolgens via de aanval werd ingeladen, onderschept wallet-api's voor cryptovaluta zoals Solana en Ethereum en steelt daarmee credentials. Volgens Aikido Security kan de malware netwerkverkeer niet alleen onderscheppen, maar ook websites in browsers nabootsen, zodat gebruikers zelf weer gephished worden. Zo kan het voorkomen dat cryptovalutabezitters transacties overmaken naar nepaccounts.
Het is op het moment van schrijven niet duidelijk of Josh Junon of Qix weer toegang hebben tot hun packages en inmiddels updates hebben gepusht. Aikido houdt dat bij in zijn blogpost.
Source: Tweakers.net