Nach Angaben von SafeDep wurden die 36 NPM-Pakete im Rahmen einer einzigen Kampagne über vier Konten veröffentlicht. Die Firma warnte am Freitag, dass die Pakete Schadlasten ausliefern, die unter anderem Redis-Code-Ausführung, das Ausbrechen aus Docker-Containern, das Sammeln von Zugangsdaten und das Ausrollen von Reverse-Shells ermöglichen.

Eine der Schadlasten missbraucht Redis-Instanzen, um crontab-Einträge einzuschleusen, PHP-Webshells und Node.js-Reverse-Shells abzulegen, SSH-Schlüssel zu hinterlegen und ein Guardarian-API-Modul zu exfiltrieren. Eine weitere war darauf ausgelegt, aus Docker-Containern auszubrechen, indem sie das Overlay-Dateisystem ausfindig macht, Shells in Host-Verzeichnisse schreibt, eine Reverse-Shell startet sowie Elasticsearch- und Wallet-Zugangsdaten ausliest.

Andere Schadlasten setzten Reverse-Shells ab, sammelten Zugangsdaten, griffen PostgreSQL-Datenbanken an, suchten nach Wallet- und Schlüsseldateien, exfiltrierten Strapi-Konfigurationen und installierten dauerhafte Implantate.

SafeDep ordnet die acht Schadlasten einem klaren Verlauf zu: „Der Angreifer begann aggressiv mit Redis-RCE und Docker-Ausbruch, stellte fest, dass diese Ansätze nicht funktionierten, wechselte zu Aufklärung und Datensammlung, nutzte fest einprogrammierte Zugangsdaten für direkten Datenbankzugriff und entschied sich schließlich für dauerhaften Zugang mit gezieltem Diebstahl von Zugangsdaten.“

Dass die Kampagne auf Strapi-Nutzer zugeschnitten war, leitet SafeDep aus mehreren Merkmalen ab: dem Namensschema der Plugins, den Dateipfaden für Konfigurationsverzeichnisse, den Pfaden von Umgebungsvariablen für Docker-Images, dem Anvisieren von Redis-Instanzen als Strapi-Cache-Backends sowie dem Fokus auf Linux-Systeme.