Cybersicherheitsforscher haben einen neuen, sich selbst verbreitenden Wurm im npm-Ökosystem entdeckt. Getauft als CanisterSprawl, nutzt dieser Angriff gestohlene Entwickler-Token, um Pakete zu kompromittieren und sich automatisch zu verbreiten. Socket und StepSecurity warnen, dass die Bedrohung bereits aktiv ist, indem sie durchgesickerte Anmeldeinformationen ausnutzt, um Repositories zu infizieren und Daten über einen ICP-Container zu stehlen.
Selbstverbreitungsmechanismus in der Lieferkette 🧬
Der Wurm operiert mittels gestohlener npm-Anmeldeinformationen, die es Angreifern ermöglichen, bösartige Versionen legitimer Pakete zu veröffentlichen. Einmal installiert, sucht der bösartige Code in der Umgebung des Entwicklers nach weiteren Token, um neue Projekte zu infizieren. Der ICP-Container fungiert als Server zum Abrufen gestohlener Daten. Socket und StepSecurity weisen darauf hin, dass die Verbreitung automatisch erfolgt und die gesamte Software-Lieferkette gefährden kann, wenn die betroffenen Token nicht widerrufen werden.
Dein npm-Token, der Hauptschlüssel des Nachbarn 🔑
Es stellt sich heraus, dass das Hinterlassen deines npm-Tokens in einem öffentlichen Repository so ist, als würdest du die Autoschlüssel bei heruntergelassenen Fenstern liegen lassen. Angreifer kommen nicht nur herein, sondern laden gleich die ganze Nachbarschaft ein, dein Fahrzeug zu nutzen. CanisterSprawl ist kein gewöhnlicher Wurm: Es ist der lästige Verwandte, der zur Code-Party kommt, die Anmeldeinformationen klaut und geht, ohne die Runde zu bezahlen. Denk daran: Wenn du deine Token nicht rotierst, wird sie jemand anderes für dich rotieren.