Angriff auf Azure Entwickler

Ein groß angelegter Angriff zielt auf Microsoft Azure-Entwickler durch bösartige npm-Pakete ab. Am Mittwoch erklärten Cybersecurity-Forscher von JFrog, dass Hunderte von bösartigen Paketen identifiziert wurden, die erstellt wurden, um wertvolle persönliche Informationen (PII) von Entwicklern zu stehlen.

Laut den Forschern Andrey Polkovnychenko und Shachar Menashe wurden die Repositories erstmals am 21. März entdeckt und wuchsen innerhalb weniger Tage von etwa 50 bösartigen npm-Paketen auf über 200 an.

Die für die npm-Repositories verantwortlichen Täter haben ein automatisiertes Skript entwickelt, das neben @azure-rest, @azure-tests, @azure-tools und @cadl-lang auch den npm-Bereich @azure angreift.

Das Skript ist verantwortlich für die Erstellung von Konten und das Hochladen der npm-Sets, die Container-Dienste, einen Health-Bot, Tester und Storage-Pakete beinhalten.

JFrog sagt, dass Typosquatting verwendet wurde, um Entwickler zum Herunterladen der Dateien zu verleiten. Zum Zeitpunkt der Erstellung dieses Artikels enthielten diese Pakete Information Stealer Malware.

Typosquatting ist eine Form des Phishings, bei der kleine Änderungen an einer E-Mail-Adresse, einer Datei oder einer Website-Adresse vorgenommen werden, um einen legitimen Dienst oder Inhalt zu imitieren. Ein Angreifer könnte beispielsweise Benutzer von „Ihre-Firma.com“ ansprechen, indem er einen Domänennamen mit „Ihre-Firma.com“ registriert – und durch das Ersetzen eines einzigen Buchstabens hofft er, dass die Opfer nicht bemerken, dass die Ressource betrügerisch ist.

In diesem Fall werden bösartige Pakete mit demselben Namen wie ein bestehendes @azure scope-Paket erstellt, aber sie haben den Bereich weggelassen.

„Der Angreifer macht sich die Tatsache zunutze, dass einige Entwickler bei der Installation eines Pakets fälschlicherweise das Präfix @azure weglassen“, so die Forscher. „Zum Beispiel, indem sie aus Versehen npm install core-tracing ausführen, anstatt den korrekten Befehl – npm install @azure/core-tracing.“

Außerdem wurden alle npm-Pakete mit hohen Versionsnummern versehen, was auf einen Angriff mit Abhängigkeitsverwirrung hindeuten könnte.  „Da dieser Satz legitimer Pakete jede Woche mehrere Millionen Mal heruntergeladen wird, besteht eine hohe Wahrscheinlichkeit, dass einige Entwickler auf den Typosquatting-Angriff hereinfallen“, so JFrog weiter.

JFrog hat eine vollständige Liste der bösartigen npm-Pakete zur Verfügung gestellt, die bisher entdeckt wurden. Die Npm-Maintainer haben die bösartigen Dateien entfernt, aber Azure-Entwickler sollten sich vor weiteren Aktivitäten dieses Bedrohungsakteurs in Acht nehmen.