Axios-Bibliothek durch ClickFix-Angriff kompromittiert

Eine weit verbreitete Software-Bibliothek wurde kompromittiert, nachdem Angreifer ihren Hauptentwickler dazu gebracht haben, Schadsoftware zu installieren. Laut Security.NL fiel der primäre Maintainer der Axios-npm-Bibliothek einem sogenannten ClickFix-Social-Engineering-Angriff zum Opfer, der es Angreifern ermöglichte, schädliche Versionen der Bibliothek zu veröffentlichen, die einen Remote-Access-Trojaner (RAT) enthielten.

Was ist passiert?

Laut Security.NL gaben sich die Angreifer als Unternehmensgründer aus, indem sie echte Profildaten und Kontaktdaten kopierten. Anschließend luden sie den Axios-Maintainer in einen überzeugend gestalteten gefälschten Slack-Workspace ein, komplett mit erfundenen LinkedIn-Links und offenbar gefälschten Profilen anderer Open-Source-Entwickler.

Von dort aus arrangierten die Angreifer ein Microsoft-Teams-Meeting. Während dieses Meetings wurde dem Maintainer eine Meldung angezeigt, die behauptete, dass Software auf seinem System veraltet sei und installiert werden müsse. Er folgte der Anweisung. Bei der Software handelte es sich nicht um ein Update. Es war ein Remote-Access-Trojaner.

Nach der Installation verschaffte der RAT den Angreifern Zugriff auf das System des Maintainers. Laut Security.NL konnten sie anschließend Session-Cookies, Tokens und andere Zugangsdaten stehlen. Die Angreifer nutzten diesen Zugriff, um schädliche Versionen der Axios-Bibliothek zu veröffentlichen.

Warum ist das relevant?

Axios ist eine HTTP-Client-Bibliothek, die von Anwendungen verwendet wird, um Web-Anfragen aus Browsern und Node.js-Umgebungen zu verarbeiten. Laut Security.NL wird die Bibliothek auf npmjs.com mehr als hundert Millionen Mal pro Woche heruntergeladen. Diese Verbreitung bedeutet, dass eine kompromittierte Version sehr schnell eine sehr große Anzahl von Systemen erreichen kann.

Es ist nicht bekannt, wie viele Nutzer die schädlichen Versionen heruntergeladen haben, wie lange diese Versionen verfügbar waren oder ob nachgelagerte Nutzer nachweislich vom RAT betroffen waren.

Diese Art von Angriff, bei der Kriminelle eine überzeugende gefälschte Identität und einen gefälschten Workspace aufbauen, um das Vertrauen einer Person zu gewinnen, bevor sie Schadsoftware einschleusen, ist eine Erinnerung daran, dass Bedrohungen nicht immer auf offensichtlichen Wegen wie Phishing-E-Mails ankommen. Ein professionell aussehender Slack-Workspace und ein Teams-Meeting können ausreichen.

Was bedeutet das für Ihre Website?

Wenn Ihre Website oder Webanwendung Software-Bibliotheken von Drittanbietern verwendet, auch bekannte und etablierte, lohnt es sich zu wissen, woher diese Bibliotheken stammen und ob Ihr Entwickler oder Hosting-Anbieter kompromittierte Abhängigkeiten überwacht. Sie müssen die technischen Details nicht selbst verstehen, aber Ihren Entwickler zu fragen: "Prüfen wir die von uns verwendeten Bibliotheken auf Sicherheitsprobleme?" ist eine berechtigte Frage. Einen umfassenderen Überblick über Maßnahmen, die Sie ergreifen können, finden Sie in unserer Sicherheits-Checkliste für kleine Unternehmen sowie in unserem Leitfaden zu anfälligen Plugins.