Der Schadcode steckt nach Analyse von SafeDep im postinstall-Skript-Hook. Dieser wird bereits bei „npm install" ausgeführt, ohne dass eine Interaktion des Nutzers nötig ist. Das Skript läuft mit denselben Rechten wie der installierende Nutzer – in CI/CD-Umgebungen und Docker-Containern bedeutet das den Missbrauch von Root-Zugriff.

Insgesamt verteilte die Kampagne acht verschiedene Schadlasten, deren Entwicklung laut SafeDep eine klare Linie erkennen lässt: Die Angreifer begannen aggressiv mit Redis-Remotecodeausführung und einem Docker-Ausbruch. Als sich diese Ansätze als wirkungslos erwiesen, schwenkten sie auf Aufklärung und Datensammlung um, nutzten fest einprogrammierte Zugangsdaten für den direkten Datenbankzugriff und entschieden sich schließlich für persistenten Zugang in Verbindung mit gezieltem Diebstahl von Anmeldedaten.

Die Art der Schadlasten, der Fokus auf digitale Vermögenswerte sowie die Verwendung fest hinterlegter Datenbank-Zugangsdaten und eines fest hinterlegten Hostnamens legen laut SafeDep nahe, dass es sich um einen gezielten Angriff gegen eine Kryptowährungsplattform handelte.

Der Fund fällt mit weiteren Lieferketten-Angriffen auf das Open-Source-Ökosystem zusammen. In einem Bericht erklärte Group-IB, Angriffe auf die Software-Lieferkette hätten sich zur „beherrschenden Kraft entwickelt, die die globale Bedrohungslage neu formt". Demnach nehmen die Akteure vertrauenswürdige Anbieter, Open-Source-Software, SaaS-Plattformen, Browser-Erweiterungen und Managed-Service-Provider ins Visier, um sich abgeleiteten Zugang zu Hunderten nachgelagerten Organisationen zu verschaffen.

Ein einzelner, örtlich begrenzter Einbruch könne sich so rasch zu einem großflächigen, grenzüberschreitenden Vorfall ausweiten. Die Angreifer industrialisierten die Kompromittierung von Lieferketten und machten daraus ein „sich selbst verstärkendes" Ökosystem, da dieser Weg Reichweite, Geschwindigkeit und Tarnung biete. Paket-Repositories wie npm und PyPI seien laut Group-IB zu bevorzugten Zielen geworden – mit gestohlenen Maintainer-Zugangsdaten und automatisierten Malware-Würmern, um weit verbreitete Bibliotheken zu kompromittieren und Entwicklungspipelines in großflächige Verteilkanäle für Schadcode zu verwandeln.