Malicious npm packages abuse dependency confusion to profile developer environments

Strategische Zusammenfassung

Microsoft Threat Intelligence hat eine aktive Supply-Chain-Attacke aufgedeckt, bei der bösartige npm-Pakete mittels Dependency Confusion in neun Unternehmensumgebungen eingeschleust wurden. Die Pakete, die unter gefälschten Maintainer-Aliassen veröffentlicht wurden, täuschen legitime interne Infrastruktur-URLs vor und führen nach der Installation einen getarnten Reconnaissance-Payload aus. Der Payload sammelt Systeminformationen, Hostnamen, Umgebungsvariablen und Entwicklerkontext, um Angreifern eine detaillierte Umgebungsanalyse zu ermöglichen. Der Angriff nutzt automatische Ausführung über npm-Lifecycle-Hooks und ist als zweiphasige Operation mit einer RECON_ONLY-Flagge konzipiert, die später für eine vollständige Ausbeutung umgeschaltet werden kann.

Key Findings

• Einsatz von Dependency Confusion mit gefälschten organisationalen Scopes, die reale interne Namensräume imitieren, z.B. @cloudplatform-single-spa und @payments-widget.
• Automatische Payload-Ausführung über den npm postinstall-Hook mit stark verschleiertem JavaScript-Code.
• Gezielte Umgebungsaufklärung: Sammeln von Systemdaten, Hostnamen, Umgebungsvariablen und Entwicklerkontext.
• Zweiphasiges Angriffsdesign mit server-seitiger RECON_ONLY-Flagge, die später für vollständige Ausnutzung deaktiviert werden kann.
• Plattformspezifische Payload-Zustellung für Windows, macOS und Linux sowie Erkennung von CI/CD-Umgebungen.