Microsoft heeft een nieuwe supply chain-aanval ontdekt waarbij een aanvaller in enkele uren tijd veertien kwaadaardige npm-packages publiceerde. De packages deden zich voor als hulpmiddelen voor OpenSearch, Elasticsearch en andere veelgebruikte ontwikkelaarsomgevingen, maar waren in werkelijkheid bedoeld om gevoelige toegangsgegevens uit cloud- en CI/CD-platforms buit te maken.
Volgens onderzoekers van Microsoft verschenen alle packages op 28 mei onder een nieuw aangemaakt npm-account. De aanvaller richtte zich op ontwikkelaars die werken met diensten als AWS, HashiCorp Vault, GitHub Actions en npm zelf. Door zich voor te doen als bestaande of verwante open source-projecten probeerde de aanvaller gebruikers ertoe te verleiden de software te installeren.
De aanval past volgens The Register in een bredere trend waarbij cybercriminelen ontwikkelomgevingen als ingang gebruiken. Toegang tot CI/CD-platforms en cloudaccounts kan immers leiden tot broncode, bedrijfsgegevens en productiesystemen.
Alle veertien packages bevatten dezelfde malware. Tijdens de installatie werd automatisch een eerste programma uitgevoerd dat informatie over het systeem verzamelde. Vervolgens werd een tweede component geladen die specifiek was ontwikkeld om inloggegevens, tokens en andere geheimen uit cloud- en automatiseringsomgevingen te stelen.
Microsoft waarschuwt dat dergelijke aanvallen verder kunnen reiken dan de oorspronkelijk geïnfecteerde systemen. Met gestolen toegangsgegevens kunnen aanvallers zich lateraal door een omgeving bewegen, aanvullende data verzamelen en mogelijk zelfs kwaadaardige updates publiceren via gecompromitteerde ontwikkelaarsaccounts.
Misleiding via package-namen
Om slachtoffers te lokken gebruikte de aanvaller verschillende technieken. Sommige packages maakten gebruik van typosquatting, waarbij de naam slechts minimaal afwijkt van een legitieme package. Andere kregen namen die sterk deden denken aan bestaande OpenSearch- en Elasticsearch-tools.
Daarnaast werden metadata van echte projecten gekopieerd. Zo verwezen links naar de websites, repositories en bugtrackers van bestaande open source-projecten. Ook kregen de packages opvallend hoge versienummers, waardoor ze op het eerste gezicht leken op software met een lange ontwikkelgeschiedenis.
De eerste variant van de aanval maakte gebruik van npm-installatiehooks. Zodra een ontwikkelaar het package installeerde, verzamelde de malware onder meer informatie over het systeem, de gebruiker en de Node.js-omgeving. Die gegevens werden doorgestuurd naar een externe server, waarna aanvullende malware werd gedownload.
Een tweede generatie van de aanval werkte subtieler. Daarbij controleerde de malware eerst of de Bun-runtime aanwezig was. Zo niet, dan werd een legitieme versie van Bun gedownload en gebruikt om de schadelijke code uit te voeren. Deze aanpak moest de aanval minder opvallend maken en de kans op detectie verkleinen.
Packages verwijderd
Microsoft heeft de betreffende packages inmiddels laten verwijderen uit het npm-register. Het bedrijf adviseert organisaties om na te gaan of ontwikkelaars sinds 28 mei een van de besmette packages hebben geïnstalleerd of gebruikt in buildprocessen.
Wanneer dat het geval is, raadt Microsoft aan om alle mogelijk blootgestelde toegangsgegevens te vervangen. Dat geldt onder meer voor AWS-accounts, HashiCorp Vault-tokens, npm-publicatierechten en GitHub Actions-credentials.
De aanval onderstreept opnieuw hoe aantrekkelijk open source-ecosystemen zijn geworden voor cybercriminelen. Door zich te richten op ontwikkelaars en hun softwareketens kunnen aanvallers met relatief beperkte inspanning toegang krijgen tot veel grotere doelwitten.