Besonders perfide ist laut Aikido Security die Art, wie der Schadcode verteilt wurde: Er wurde nie in die offiziellen Repositories eingecheckt. GitHub erlaube es, Versions-Tags auf Commits aus einem Fork desselben Repositorys zeigen zu lassen. Diesen Umstand nutzten die Angreifer aus, um Tags auf Commits in einem von ihnen kontrollierten, bösartigen Fork zu setzen.

Die manipulierten Versions-Tags enthielten eine Datei namens src/helpers.php, die sich als Laravel-Lokalisierungshelfer ausgab. Der Code erstellt zunächst einen Fingerabdruck des Rechners und verbindet sich anschließend mit der Command-and-Control-Domain flipboxstudio[.]info, um von dort einen in PHP geschriebenen Anmeldedaten-Dieb nachzuladen und im Hintergrund auszuführen.

Die Malware war darauf ausgelegt, Cloud-Schlüssel und Tokens abzugreifen — darunter solche von AWS, GCP und Azure —, ebenso Docker- und Kubernetes-Konfigurationen, HashiCorp-Vault-Tokens, Helm-Repository-Konfigurationen, private SSH-Schlüssel, Entwickler-Anmeldedaten, Authentifizierungs-Tokens, Verlaufsdateien der Shell sowie Dateien, in denen Zugangsdaten gespeichert sind.

Zusätzlich zielte die Schadsoftware auf Anmeldedaten in Browsern und Passwortmanagern, auf Kryptowährungs-Wallets und zugehörige Erweiterungen, verschiedene Kommunikationsplattformen, VPN-Konfigurationsdateien sowie weitere wertvolle Konfigurations- und Zugangsdateien unter Windows, Linux und macOS.

Organisationen wie auch einzelnen Nutzern wird geraten, die betroffenen Pakete zu blockieren und alle Systeme, auf denen sie installiert wurden, als potenziell kompromittiert zu behandeln. Anschließend sollten saubere Versionen beschafft und installiert werden.

Da die Schadsoftware unter anderem auf Cloud-Metadaten, Kubernetes-Tokens, Vault, CI/CD-Systeme, Browserdaten, Passwortmanager, Anmeldedaten der Versionsverwaltung, VPN-Konfigurationen, SSH-Schlüssel, .env-Dateien und lokale Anwendungskonfigurationen abzielt, sollten betroffene Teams laut Socket sämtliche Geheimnisse rotieren, die auf Hosts, in Containern, auf CI-Runnern oder auf Entwicklerrechnern verfügbar waren, die die kompromittierten Pakete installiert oder ausgeführt haben.