Cybersecurity-Forscher haben eine neue Welle von Supply-Chain-Angriffen aufgedeckt, die nordkoreanischen, staatlich orientierten Bedrohungsakteuren zugeschrieben werden. Dabei wurden 26 bösartige npm-Pakete veröffentlicht, die sich als legitime Entwickler-Tools ausgeben. Die als "StegaBin" bezeichnete Kampagne nutzt Pastebin-basierte Steganografie, um Command-and-Control (C2)-Endpunkte zu verbergen und schließlich Credential Stealer und einen plattformübergreifenden Remote Access Trojan (RAT) einzusetzen. Die Infrastruktur, die diese Operationen unterstützt, erstreckt sich über 31 Vercel-Installationen, was eine ausgeklügelte und sich weiterentwickelnde Bedrohung für die globale Software-Lieferkette aufzeigt.

Akteur der Bedrohung -

  • Die Kampagne steht in Verbindung mit dem nordkoreanischen Bedrohungscluster "Famous Chollima".
  • Die Operation stimmt mit den zuvor beobachteten nordkoreanischen Taktiken überein, die die Infiltration der Lieferkette und auf Entwickler abzielende Malware beinhalten.
  • Tarnt sich als legitimes Entwicklerprogramm
  • Enthält ein bösartiges install.js-Skript, das bei der Installation automatisch ausgeführt wird
  • Typosquats echter Pakete, um vertrauenswürdig zu erscheinen

Technische Details.

Bösartige npm-Pakete

Die Forscher identifizierten 26 npm-Pakete, darunter argonist, bcryptance, bubble-core, expressjs-lint, fastify-lint, mqttoken, sequelization und andere. Jedes Paket:

  • Tarnt sich als legitimes Entwickler-Dienstprogramm
  • Enthält ein bösartiges install.js-Skript, das bei der Installation automatisch ausgeführt wird
  • Typosquats echter Pakete, um vertrauenswürdig zu erscheinen

Mechanismus zur Bereitstellung der Nutzlast

Der bösartige Arbeitsablauf beinhaltet:

  1. Ausführung einer Nutzlast aus vendor/scrypt-js/version.js während der Installation
  2. Steganografischer Abruf von C2-URLs aus Pastebin-Beiträgen - gut aussehende Aufsätze, die versteckte Zeichen an berechneten Positionen enthalten
  3. Dekodierungslogik, die:
    • Entfernt Unicode-Zeichen mit Null-Breite
    • Liest eine 5-stellige Längenmarkierung
    • Extrahiert Zeichen in gleichmäßigen Abständen, um C2-Adressen zu rekonstruieren

Befehls- und Kontrollinfrastruktur

  • C2-Infrastruktur, die über 31 Vercel-Einsätze gehostet wird
  • Pastebin-Posts fungieren als Deaddrop-Resolver und verbergen die Standorte nachgelagerter bösartiger Dienste

Malware-Fähigkeiten

Die eingesetzte Malware umfasst:

  • Credential Stealers, die auf Entwicklerumgebungen abzielen
  • Plattformübergreifende RATs (Windows/macOS/Linux)
  • Module, die Folgendes ermöglichen:
    • Keylogging
    • Extraktion von Anmeldeinformationen
    • Dauerhafter Zugriff
    • Ausnutzung von Tools wie Visual Studio Code
  • Kompromittierung von Entwickler-Workstations, wodurch Angreifer Zugriff auf sensible Anmeldeinformationen, Token und API-Schlüssel erhalten
  • Verbreitung von verseuchtem Code in nachgelagerte Anwendungen, wodurch sekundäre Infektionspfade entstehen
  • Umgebungsübergreifende Persistenz aufgrund der plattformübergreifenden Natur des RAT
  • Erhöhte Schwierigkeit bei der Erkennung aufgrund von:
    • Legitim aussehende Paketnamen
    • Normale Ausführungspfade des Build-Prozesses

Auswirkungen.

Diese Kampagne stellt eine erhebliche Bedrohung für die Software-Lieferkette dar, insbesondere für Entwickler und Organisationen, die stark auf npm-basierte Tools angewiesen sind:

Risiken

Indikatoren für Kompromittierung -

Bösartige Pakete

Die Liste der bösartigen npm-Pakete ist wie folgt -

argonist@0.41.0

bcryptance@6.5.2

bee-quarl@2.1.2

bubble-core@6.26.2

corstoken@2.14.7

daytonjs@1.11.20

ether-lint@5.9.4

expressjs-lint@5.3.2

fastify-lint@5.8.0

formmiderable@3.5.7

hapi-lint@19.1.2

iosysredis@5.13.2

jslint-config@10.22.2

jsnwebapptoken@8.40.2

kafkajs-lint@2.21.3

loadash-lint@4.17.24

mqttoken@5.40.2

prism-lint@7.4.2

promanage@6.0.21

sequelization@6.40.2

typoriem@0.4.17

undicy-lint@7.23.1

uuindex@13.1.0

vitetest-lint@4.1.21

windowston@3.19.2

zoddle@4.4.2

Infrastruktur-Indikatoren

  • Pastebin-URLs mit versteckten C2-Markierungen
  • Von Vercel gehostete bösartige Anwendungen (31 Implementierungen)
  • Überprüfen aller npm-Abhängigkeiten in allen Projekten auf die aufgelisteten bösartigen Pakete
  • Alle Instanzen der identifizierten Pakete entfernen und unter Quarantäne stellen
  • Rotieren der in den betroffenen Entwicklungsumgebungen verwendeten Anmeldeinformationen
  • Durchführen von Endpunkt-Scans für:
    • Spuren der automatischen Ausführung von install.js
    • vendor/scrypt-js/version.js-Nutzdatenaktivität
  • Überwachung der Entwicklerarbeitsplätze auf abnormale ausgehende Verbindungen (z. B. zu Pastebin, Vercel-Einsätzen)

Empfohlene Abhilfemaßnahmen

Wenn Sie sich über eine der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Hilfe benötigen, um herauszufinden, welche Maßnahmen Sie ergreifen sollten, um sich vor den wichtigsten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer odernehmen Sie Kontakt mit uns auf, um zu erfahren, wie Sie Ihr Unternehmen schützen können.

 

Kontaktieren Sie uns