MalwareSchwachstellenCyberkriminalität

Massive Supply-Chain-Attacke: 36 manipulierte NPM-Pakete zielen auf Strapi-Nutzer ab

Massive Supply-Chain-Attacke: 36 manipulierte NPM-Pakete zielen auf Strapi-Nutzer ab
Zusammenfassung

# Großangelegter Supply-Chain-Angriff auf Strapi-Entwickler durch manipulierte NPM-Pakete In einer neuen Welle von Supply-Chain-Attacken haben Hacker 36 bösartige NPM-Pakete unter dem Deckmantel von Strapi-Plugins verbreitet. Strapi ist ein beliebtes Open-Source-Headless-CMS auf Node.js-Basis, das von Entwicklern weltweit für die Erstellung von Websites, mobilen Anwendungen und APIs genutzt wird. Die von der Sicherheitsfirma SafeDep entdeckte Kampagne zielt gezielt auf Nutzer des Kryptowährungs-Zahlungsgateways Guardarian ab und setzt auf vielfältige Angriffsvektoren: Von Redis-Code-Execution über Docker-Container-Escape bis hin zur Abfischung von Zugangsdaten und dem Einsatz von Reverse Shells. Die Angreifer zeigen dabei ein hohes Maß an Flexibilität und passen ihre Methoden an – sie begannen mit aggressiven Exploits, wechselten dann zu Aufklärung und Datendiebstahl, nutzten hardcodierte Zugangsdaten für direkten Datenbankzugriff und etablierten letztlich persistente Hintertüren. Für deutsche Entwickler und Unternehmen, die Strapi einsetzen oder Node.js-Dependencies nutzen, stellt dies eine erhebliche Bedrohung dar. Betroffene Nutzer müssen sofort alle Anmeldedaten, Datenbankpasswörter, API-Schlüssel und Secrets rotieren, um nicht in die Fänge der Cyberkriminellen zu geraten.

Die Kampagne zeigt ein bemerkenswert strategisches Vorgehen der Cyberkriminellen. Die 36 böswilligen Pakete wurden so benannt, dass sie wie echte Strapi-Plugins wirken und somit Entwickler zum Download verleiten. Einmal installiert, entfalten sie verschiedene Malware-Payloads mit jeweils unterschiedlichen Zielen.

Die erste Welle der Angriffe war besonders aggressiv: Ein Payload zielte auf Redis-Instanzen ab, um Code einzuschleusen und Crontab-Einträge zu injizieren. Damit konnten die Angreifer PHP-Webshells sowie Node.js-Reverse-Shells deployen, SSH-Schlüssel einspielen und gezielt das Guardarian-API-Modul exfiltrieren. Ein anderer Payload war spezialisiert auf Docker-Container-Escape-Angriffe über Overlay-Filesystem-Entdeckung, um Shells auf Host-Verzeichnisse zu schreiben und Elasticsearch- sowie Wallet-Zugangsdaten auszulesen.

Was SafeDep besonders interessant dokumentiert: Die Angreifer zeigten einen erkennbaren Lernprozess. Nachdem die aggressiven Methoden (Redis-RCE, Docker-Escape) offenbar nicht immer funktionierten, pivotierten sie zu Aufklärung und Datensammlung. Sie nutzten hardcodierte Zugangsdaten für direkten Datenbankzugriff und konzentrierten sich schließlich auf persistente Zugänge mit gezieltem Credential-Diebstahl.

Die gesamte Kampagne ist klar auf Strapi-Nutzer abgestimmt: Die Plugin-Namensgebung, die Zielverzeichnisse für Konfigurationen, die Umgebungsvariablen in Docker-Images und die Fokussierung auf Redis-Instanzen als Strapi-Cache-Backend sowie Linux-Systeme belegen dies deutlich.

Für betroffene Nutzer bedeutet das eine sofortige Reaktion: Alle Zugangsdaten müssen rotiert werden – Datenbankpasswörter, API-Keys, JWT-Secrets und alle anderen auf den Systemen gespeicherten Geheimnisse. Die Attacke unterstreicht ein grundsätzliches Problem der Open-Source-Ökosysteme: Die Angreifer nutzen das Vertrauen von Entwicklern in etablierte Frameworks aus und verstecken ihre Malware geschickt in scheinbar legitimen Plugins.

Diese Incident reiht sich in eine wachsende Serie von Supply-Chain-Attacken ein und zeigt, wie Cyberkriminelle zunehmend auf Fintech- und Kryptowährungsplattformen abzielen. Für deutsche Unternehmen und Entwickler ist Vorsicht bei der Installation von NPM-Paketen geboten – auch scheinbar legitime Quellen können kompromittiert sein.

Ähnliche Artikel