Malware in weit verbreiteter NPM-Bibliothek entdeckt

Cyberkriminellen ist es gelungen, in die NPM-Bibliothek UA-Parser-JS Schadcode einzuschleusen. Die häufig genutzte Bibliothek zählt mehrere Millionen Downloads pro Woche. Zuletzt enthielt sie jedoch Kryptominer und Passwörter stehlende Trojaner, die in der Lage sind, Linux- und Windows-Geräte zu infizieren.

Wie BleepingComputer berichtet, wurde die mit Schadcode versehene Version der Bibliothek am 22. Oktober veröffentlicht. Der Entwickler der Bibliothek bestätigte demnach, dass sein NPM-Konto gehackt und insgesamt drei verschiedene schädliche Versionen der UA-Parser-JS-Bibliothek eingeschleust wurden.

“Ich habe etwas Ungewöhnliches bemerkt, als meine E-Mail plötzlich mit Spam von Hunderten von Websites überflutet wurde (vielleicht, damit ich nicht merke, dass etwas nicht stimmt, zum Glück ist der Effekt genau das Gegenteil)”, erklärte Faisal Salman, der Entwickler von UA-Parser-JS, in einem Fehlerbericht. Betroffen waren ihm zufolge die Versionen 0.7.29, 0.8.0 und 1.0.0, die inzwischen durch die bereinigten Versionen 0.7.30, 0.8.1 und 1.0.1 ersetzt wurden.

Laut einer Analyse von BleepingComputer prüft die Malware bei ihrer Installation zuerst das Betriebssystem. Unter Linux richtet sie dann den Miner XMRig ein, der die Kryptowährung Monero schürft. Unter Windows wird zusätzlich zu XMRig noch ein bisher nicht eindeutig identifizierter Trojaner eingeschleust, der es auf Kennwörter von FTP-Clients, VNC, Messaging-Anwendungen, E-Mail-Clients und Browsern abgesehen haben soll.

Inzwischen warnt auch die US-Cybersicherheitsbehörde CISA vor diesem Angriff auf die Lieferkette. Sie verweist auf eine Sicherheitsmeldung von GitHub, wonach jegliche Computer, auf denen eine der schädlichen Versionen der Bibliothek installiert wurden, als vollständig kompromittiert angesehen werden sollten. “Alle auf diesem Computer gespeicherten Geheimnisse und Schlüssel sollten sofort von einem anderen Computer aus ausgetauscht werden.”