Microsoft macht Sapphire Sleet für Angriff auf 141 Mastra-NPM-Pakete verantwortlich

Zusammenfassung

Microsoft schreibt den Supply-Chain-Angriff auf das Open-Source-Framework Mastra der nordkoreanischen, staatlich unterstützten Gruppe Sapphire Sleet zu. Betroffen waren 141 NPM-Pakete aus dem Mastra-Ökosystem, die in einem 45-minütigen Zeitfenster veröffentlicht wurden und eine schädliche Abhängigkeit enthielten. Mastra ist ein TypeScript-Framework zum Aufbau von KI-Agenten, Workflows und RAG-Pipelines. Nach Angaben von Microsoft zielte die eingeschleuste Schadkomponente auf Windows, macOS und Linux und sollte sich als Node-bezogenes Werkzeug tarnen, während sie Systeminformationen sammelte und mehr als 160 kryptobezogene Browser-Erweiterungen ins Visier nahm. Der Angriff traf Pakete mit zusammen rund 8 Millionen wöchentlichen Downloads. Nutzer, die während des Angriffszeitfensters ein @mastra-Paket installiert haben, sollten ihre Systeme laut Bericht als betroffen betrachten.

Der Angriff ereignete sich am 17. Juni. In diesem Zeitraum veröffentlichten die Angreifer laut Microsoft 141 Mastra-Pakete, die die schädliche Abhängigkeit easy-day-js enthielten. Dabei handelt es sich um eine Typosquatting-Variante der legitimen Datumsbibliothek dayjs.

Ausgangspunkt war die Kompromittierung des NPM-Maintainer-Kontos „ehindero“, das Veröffentlichungsrechte im gesamten Mastra-Ökosystem besitzt. Bereits einen Tag vor der Übernahme dieses Kontos hatten die Angreifer über ein separates Konto namens „sergey2016“ zunächst eine saubere Version von easy-day-js veröffentlicht.

Mit dem kompromittierten Maintainer-Konto ergänzten die Täter easy-day-js dann als Abhängigkeit in 141 NPM-Paketen von Mastra. Nach Microsofts Angaben geschah dies so, dass stets die jeweils neueste Version der Bibliothek installiert wurde. Parallel dazu veröffentlichten die Angreifer auf ihrem eigenen Konto eine neue, schädliche Version von easy-day-js.

Die bösartige Abhängigkeit enthielt einen verschleierten Postinstall-Dropper. Dieser lud von Servern der Angreifer eine zweite Schadstufe nach, schrieb sie in das temporäre Verzeichnis, führte sie als abgekoppelten, verborgenen Hintergrundprozess aus und löschte sich anschließend selbst, um Spuren zu verwischen.

Microsoft betont, dass der Schadcode bereits während der Installation ausgeführt wurde. Dadurch seien potenziell alle Entwickler-Arbeitsplätze oder CI/CD-Pipelines gefährdet gewesen, die nach Veröffentlichung der kompromittierten Versionen npm install oder npm update ausführten — unabhängig davon, ob das jeweilige Paket im Anwendungscode überhaupt importiert wurde.

Die Malware war für Windows, macOS und Linux ausgelegt. Laut Microsoft sollte sie sich als Node-bezogenes Werkzeug tarnen, Systeminformationen sammeln und mehr als 160 Browser-Erweiterungen mit Bezug zu Kryptowährungen angreifen.

Microsoft ordnet den Vorfall der finanziell motivierten nordkoreanischen Gruppe Sapphire Sleet zu, die auch unter den Namen BlueNoroff, CageyChameleon, Copernicium und Stardust Chollima bekannt ist. Dieselbe Gruppe wurde auch für den Supply-Chain-Angriff auf Axios verantwortlich gemacht. Im April waren manipulierte Versionen der Axios-NPM-Bibliothek veröffentlicht worden, die auf eine Phantom-Abhängigkeit verwiesen, welche einen plattformübergreifenden RAT herunterladen und ausführen sollte. Googles Threat Intelligence Group schrieb diesen Angriff UNC1069 zu.

Mastra-Nutzern wird geraten, die betroffenen Paketversionen zu entfernen, ihre Systeme auf Malware zu prüfen, Zugangsdaten, Token und andere Geheimnisse zu rotieren sowie den Zugang zu ihren Krypto-Wallets abzusichern.

Die Sicherheitsfirmen Aikido, Ox, Socket, Sonatype und StepSecurity haben technische Details und Indikatoren für eine Kompromittierung zu dem Mastra-Angriff veröffentlicht.

Microsoft macht Sapphire Sleet für Angriff auf 141 Mastra-NPM-Pakete verantwortlich

Ähnliche Artikel

Neueste Artikel