Der Angriff zeigt ein neues Muster in der Cyberkriminalität: Während Packagist das zentrale Repository für PHP-Pakete ist, nutzten die Angreifer eine Schwachstelle in der typischerweise unterschätzten package.json-Datei. Die acht betroffenen Pakete wurden inzwischen aus dem Repository entfernt, doch die Sicherheitsimplikationen sind erheblich.
Die Funktionsweise des Angriffs ist raffiniert: Die Malware wurde in das postinstall-Skript der betroffenen Pakete eingebaut. Bei Installation oder Build-Prozessen lädt das Skript eine Linux-Binärdatei von einer GitHub-URL herunter, speichert sie im Verzeichnis „/tmp/.sshd” und führt sie mit vollständigen Ausführungsrechten aus. Der Download erfolgt im Hintergrund, wodurch Entwickler die verdächtige Aktivität möglicherweise übersehen.
Besonders alarmierend ist die Breite des Angriffs: Socket-Forscher haben 777 Dateien auf GitHub identifiziert, die das gleiche Payload-Muster enthalten. Das deutet auf eine umfassendere Kampagne hin, bei der die Angreifer verschiedene Ausführungsmechanismen einsetzten – neben Package-Installation auch GitHub Actions-Workflows.
Die Malware selbst trägt den Namen „gvfsd-network”, vermutlich eine Anspielung auf den GNOME Virtual File System Daemon. Das echte Ziel dieser Binary ist unklar, da das zugehörige GitHub-Konto gelöscht wurde. Für Unternehmen und Entwickler bedeutet das: Selbst ohne Kenntnis der tatsächlichen Payload-Funktion ist das Installer-Skript eine massive Sicherheitsbedrohung, da es Remote Code Execution während Installation oder Build ermöglicht und seine Aktivität durch deaktivierte TLS-Verifizierung und unterdrückte Fehlermeldungen verschleiert.
Deutsche Organisationen sollten ihre Packagist-Abhängigkeiten überprüfen und ihre CI/CD-Pipelines absichern. Das BSI und der Bundesdatenschutzbeauftragte (BfDI) werden diesen Fall voraussichtlich als Beispiel für DSGVO-relevante Sicherheitsvorfälle einstufen, da kompromittierte Software zu Datenlecks führen kann.