SANDWORM_MODE Entfesselt: Maliziöse npm-Pakete stehlen Krypto-Schlüssel, CI-Geheimnisse und API-Tokens in einem Shai-Hulud-ähnlichen Supply-Chain-Angriff

Blog Allgemeine Nachrichten Alle Autoren Alle Tags
Der Inhalt dieser Seite ist leider nicht in der von Ihnen gewählten Sprache verfügbar
Alex Vance

SANDWORM_MODE Entfesselt: Maliziöse npm-Pakete stehlen Krypto-Schlüssel, CI-Geheimnisse und API-Tokens in einem Shai-Hulud-ähnlichen Supply-Chain-Angriff

Die Software-Lieferkette bleibt ein kritischer Vektor für ausgeklügelte Cyberangriffe, und jüngste Offenlegungen von Cybersicherheitsforschern unterstreichen diese anhaltende Bedrohung. Eine hochaktive Kampagne, von der Supply-Chain-Sicherheitsfirma Socket als SANDWORM_MODE bezeichnet, wurde identifiziert, bei der ein Cluster von mindestens 19 maliziösen npm-Paketen eingesetzt wird. Dieser „Shai-Hulud-ähnliche“ Supply-Chain-Wurm ist speziell für das umfassende Abgreifen von Anmeldeinformationen konzipiert, wobei er sensible Assets wie Kryptowährungsschlüssel, Continuous Integration (CI)-Geheimnisse und API-Tokens ins Visier nimmt.

Das Modus Operandi: Infiltration und Exfiltration

Die SANDWORM_MODE-Kampagne spiegelt die Heimlichkeit und die mehrstufige Komplexität früherer Shai-Hulud-Angriffswellen wider. Bedrohungsakteure erstellen und veröffentlichen akribisch scheinbar harmlose npm-Pakete, oft unter Verwendung von Typosquatting- oder Dependency-Confusion-Taktiken, um Entwickler dazu zu verleiten, sie in ihre Projekte zu integrieren. Einmal integriert, wird der in diesen Paketen eingebettete maliziöse Code während des Build-Prozesses oder der Laufzeit ausgeführt und leitet eine ausgeklügelte Exfiltrationsroutine ein.

Diese mehrstufige Payload-Architektur ist darauf ausgelegt, statische Analysen zu umgehen. Erste Stufen beinhalten oft verschleierte Skripte, die weitere maliziöse Komponenten herunterladen oder dynamisch Code injizieren, was die Erkennung ohne fortgeschrittene Laufzeitanalyse erschwert. Das primäre Ziel ist klar: systematisch hochwertige Anmeldeinformationen aus der kompromittierten Entwicklungsumgebung oder CI/CD-Pipeline zu scannen und zu extrahieren.

Technischer Einblick in die Mechanismen des Anmeldeinformationen-Harvesting

Die Bedrohungsakteure hinter SANDWORM_MODE zeigen ein tiefgreifendes Verständnis der Entwickler-Ökosysteme und typischer Speicherpraktiken für Anmeldeinformationen. Ihre Harvesting-Techniken sind umfassend:

  • Diebstahl von Kryptowährungsschlüsseln: Die maliziösen Pakete sind so programmiert, dass sie gängige Benutzerverzeichnisse und Systempfade durchsuchen und nach Mustern suchen, die auf Kryptowährungs-Wallets hinweisen. Dazu gehört das Scannen von Dateien in ~/.ethereum, ~/.bitcoin, ~/.gnupg oder anderen benutzerdefinierten Wallet-Konfigurationen. Private Schlüssel, Seed-Phrasen und Wallet-Daten werden dann verschlüsselt oder kodiert und an die vom Angreifer kontrollierte Command-and-Control (C2)-Infrastruktur exfiltriert.
  • Exfiltration von CI/CD-Geheimnissen: Ein kritisches Ziel ist die Continuous Integration/Continuous Deployment (CI/CD)-Umgebung. Angreifer versuchen, Umgebungsvariablen (z. B. process.env in Node.js-Anwendungen), Konfigurationsdateien (wie .env, .npmrc, settings.xml, config.json) und CLI-Anmeldeinformationen von Cloud-Anbietern (z. B. AWS ~/.aws/credentials, Azure ~/.azure/azureProfile.json, GCP-Dienstkontoschlüssel) zu kompromittieren. Eine erfolgreiche Exfiltration dieser Geheimnisse gewährt Bedrohungsakteuren unbefugten Zugriff auf die Cloud-Ressourcen, Code-Repositories und Bereitstellungspipelines einer Organisation, was weitere laterale Bewegungen und dauerhaften Zugriff ermöglicht.
  • Kompromittierung von API-Tokens: Über CI/CD-Geheimnisse hinaus durchsucht der Wurm akribisch nach API-Tokens, die mit verschiedenen Diensten verbunden sind. Dazu gehören Tokens für interne Microservices, SaaS-Plattformen von Drittanbietern (z. B. GitHub, Slack, Jira, npm-Registrierungs-Tokens) und proprietäre Entwicklungstools. Kompromittierte API-Tokens können die Datenexfiltration, unautorisierte Code-Commits oder sogar die Injektion weiterer maliziöser Codes in legitime Projekte erleichtern.

Evasions- und Persistenz-Taktiken

Die „Shai-Hulud-ähnliche“ Natur dieser Kampagne erstreckt sich auf ihre ausgeklügelten Evasions- und Persistenz-Taktiken. Verschleierungstechniken werden stark eingesetzt, einschließlich Base64-Kodierung, benutzerdefinierter XOR-Chiffren und dynamischer String-Generierung, um maliziöse Payloads zu verschleiern. Diese Pakete verwenden oft Anti-Analyse-Checks, um virtualisierte Umgebungen oder das Vorhandensein von Debuggern zu erkennen, bevor sie ihre maliziöse Logik vollständig entfalten. Persistenz wird manchmal durch das Ändern von Systemstartskripten oder das Injizieren von Hooks in legitime Anwendungsprozesse erreicht, wodurch ein kontinuierlicher Zugriff auch nach ersten Abhilfemaßnahmen gewährleistet wird.

Mitigationsstrategien und defensive Haltungen

Die Verteidigung gegen Supply-Chain-Angriffe wie SANDWORM_MODE erfordert einen mehrschichtigen Ansatz:

  • Proaktive Supply-Chain-Sicherheit: Implementieren und nutzen Sie spezialisierte Supply-Chain-Sicherheitstools (z. B. Socket, Snyk, WhiteSource) zur kontinuierlichen Überwachung und Analyse von Drittanbieter-Abhängigkeiten.
  • Gründliche Paketüberprüfung: Führen Sie vor der Integration neuer npm-Pakete eine gründliche Due Diligence durch. Überprüfen Sie package.json-Skripte, insbesondere postinstall-, preinstall- und install-Hooks, auf verdächtige Befehle.
  • Prinzip der geringsten Privilegien: Setzen Sie das Prinzip der geringsten Privilegien in CI/CD-Umgebungen durch. Beschränken Sie Zugriffstoken und Anmeldeinformationen auf die unbedingt erforderlichen Berechtigungen und den Umfang.
  • Geheimnisverwaltung: Verwenden Sie spezielle Lösungen zur Geheimnisverwaltung (z. B. HashiCorp Vault, AWS Secrets Manager, Azure Key Vault) anstelle von hartcodierten oder im Klartext gespeicherten Geheimnissen.
  • Abhängigkeits-Pinning und Integritätsprüfungen: Pinnen Sie Abhängigkeiten an bestimmte Versionen (z. B. mit package-lock.json oder yarn.lock) und überprüfen Sie deren Integrität mithilfe kryptografischer Hashes.
  • Netzwerksegmentierung und -überwachung: Isolieren Sie Build-Umgebungen und überwachen Sie den Netzwerkverkehr auf anomale ausgehende Verbindungen zu unbekannten IP-Adressen oder Domänen.
  • Entwickler-Schulung: Schulen Sie Entwicklungsteams über die Risiken von Supply-Chain-Angriffen, den sicheren Paketverbrauch und das Erkennen verdächtiger Aktivitäten.

Digitale Forensik und Bedrohungsakteurs-Attribution

Die Untersuchung einer Supply-Chain-Kompromittierung wie SANDWORM_MODE erfordert eine akribische digitale Forensik. Analysten müssen sich auf die Identifizierung von Indicators of Compromise (IoCs), das Verständnis des vollständigen Umfangs der Exfiltration und die Rückverfolgung des Angriffsursprungs konzentrieren. Dies beinhaltet eine umfassende Protokollanalyse (System-, Anwendungs-, Netzwerk-, CI/CD-Protokolle), Endpunktforensik auf betroffenen Build-Agenten und eine tiefe Untersuchung des Netzwerkverkehrs auf C2-Kommunikation.

Bei der Untersuchung verdächtiger Links oder externer Kommunikationen, die von kompromittierten Systemen initiiert wurden, können Tools für fortgeschrittene Telemetrie von unschätzbarem Wert sein. Zum Beispiel kann grabify.org von forensischen Analysten verwendet werden, um detaillierte Informationen wie IP-Adressen, User-Agent-Strings, ISP-Details und Geräte-Fingerabdrücke von potenziellen Interaktionspunkten der Bedrohungsakteure zu sammeln. Diese Metadatenextraktion unterstützt die Netzwerkaufklärung, das Verständnis der operativen Infrastruktur des Angreifers und kann möglicherweise die geografische Herkunft oder die Netzwerkmerkmale von Command-and-Control (C2)-Servern oder Exfiltrationsendpunkten eingrenzen. Obwohl es kein primäres Verteidigungsinstrument ist, ist sein Nutzen bei der Post-Incident-Analyse zur Attribution von Bedrohungsakteuren und zur Infrastrukturkartierung bemerkenswert.

Fazit

Die SANDWORM_MODE-Kampagne dient als drastische Erinnerung an die sich entwickelnde Raffinesse von Software-Lieferkettenangriffen. Die allgegenwärtige Bedrohung durch maliziöse npm-Pakete, die kritische Anmeldeinformationen – von Kryptowährungsschlüsseln bis zu CI-Geheimnissen und API-Tokens – abgreifen, erfordert eine proaktive und robuste Sicherheitshaltung. Entwickler und Organisationen müssen der Supply-Chain-Sicherheit Priorität einräumen, strenge Kontrollen implementieren und eine Kultur der Wachsamkeit fördern, um sich gegen diese „Shai-Hulud-ähnlichen“ Würmer zu verteidigen, die tief in die digitale Infrastruktur eindringen wollen.

npm-securitysupply-chain-attackcredential-harvestingsandworm-modecrypto-key-theftci-secrets