Pro-Ukraine-Angriff auf JavaScript-Anwendungen
Ein beliebtes JavaScript-Paket wurde von seinem Entwickler sabotiert und mit Nachrichten zur Unterstützung der Ukraine versehen, was sich zu einem Angriff auf die Lieferkette entwickelt hat.
Die Protestaktion eines Entwicklers hat sich zu einem Angriff auf ein beliebtes JavaScript-Entwicklerwerkzeug entwickelt.
Der Sicherheitsanbieter Snyk rät Entwicklern, nach einer bösartigen Komponente Ausschau zu halten, die in das JavaScript-Befehlszeilen-Tool Vue.js eingefügt wurde. Infizierte Anwendungen erzeugen Textdateien auf den Desktops von Endbenutzersystemen. Die Dateien enthalten Text, der Unterstützung für die Ukraine in ihrem laufenden Krieg mit Russland zeigt.
In einem Blogbeitrag erklärte der Snyk-Forscher Liran Tal, dass nicht Vue.js selbst infiziert ist. Vielmehr handelt es sich um ein anderes Stück Code, auf das Vue.js angewiesen ist, um zu funktionieren. Das NPM-Paket, bekannt als node-ipc, ist als Abhängigkeit in Vue.js eingebunden.
Laut Tal begann der Vorfall Anfang des Monats, als Brandon Nozaki Miller, der Entwickler von node-ipc, der sich auch "RIAEvangelist" nennt, ein Proof of Concept erstellte, um gegen die russische Invasion in der Ukraine zu protestieren. Die als "peacenotwar" bekannte Infektion wurde bis diese Woche kaum heruntergeladen.
Das änderte sich jedoch am 15. März, als die peacenotwar-Infektion in das weit verbreitete node-ipc-Paket integriert wurde. Dies wiederum führte dazu, dass andere JavaScript-Anwendungen, die node-ipc als Abhängigkeit enthielten, infiziert wurden. Snyk zufolge löscht das infizierte NPM-Paket Daten auf Systemen, die sich entweder in Russland oder in Weißrussland befinden.
Aufgrund von Bedenken hinsichtlich zukünftiger Code-Updates, die Benutzer gefährden könnten, empfehlen wir, das npm-Paket node-ipc vollständig zu vermeiden.
Wenn dieses npm-Paket in Ihrem Projekt als Teil der Anwendung, die Sie entwickeln, gebündelt ist, dann empfehlen wir, dass Sie die npm-Paketmanager-Funktion verwenden, um die sabotierten Versionen vollständig zu überschreiben und die transitive Abhängigkeit auf bekanntes Gut festzulegen.
Während Vue.js nicht die einzige Anwendung ist, die node-ipc als Abhängigkeit hat, ist das Kommandozeilen-Tool laut Snyk die bei weitem beliebteste, die die infizierte Komponente verwendet.
Dies ist nicht das erste Mal, dass eine infizierte Abhängigkeit Chaos in nachgelagerten Anwendungen verursacht. Anfang dieses Jahres entdeckten Forscher Hunderte von Schadcode-Paketen, die über das NPM-Code-Repository verstreut waren.
Bei diesem Sicherheitsvorfall handelt es sich um zerstörerische Handlungen zur Beschädigung von Dateien auf der Festplatte durch einen Maintainer und dessen Versuche, diese vorsätzliche Sabotage in verschiedenen Formen zu verbergen und wiederzugeben.
Obwohl es sich um einen Angriff mit protestgesteuerten Motiven handelt, verdeutlicht er ein größeres Problem, mit dem die Software-Lieferkette konfrontiert ist: Die transitiven Abhängigkeiten in Ihrem Code können einen enormen Einfluss auf Ihre Sicherheit haben.
Tal schrieb auch, dass Snyk zwar die Ukraine unterstützt und seine Geschäfte in Russland und Weißrussland eingestellt hat, "vorsätzlicher Missbrauch wie dieser untergräbt jedoch die globale Open-Source-Gemeinschaft und erfordert, dass wir die betroffenen Versionen von node-ipc als Sicherheitslücken kennzeichnen."