Auf npm sind in den letzten Tagen gut 1200 Pakete aufgetaucht, die auf einen anstehenden Supply-Chain-Angriff hindeuten. Offenbar enthalten alle Pakete eine Kopie des Codes aus einem Paket zum Schürfen von Kryptowährungen. Derzeit startet der Code noch nicht, da er auf einen externen Aufruf angewiesen ist. Das auf sichere Softwareentwicklung spezialisierte Unternehmen Checkmarx hat die Paketflut auf npm entdeckt und analysiert. Demnach stammen die Packages nicht von einem oder wenigen, sondern von knapp über 1000 automatisiert erstellten npm-Accounts. Ein Großteil der Pakete ist wohl weiterhin auf npm verfügbar. Alle Pakete enthalten laut Checkmarx eine nahezu identische Kopie des legitimen Pakets eazyminer, das wiederum ein JavaScript-Wrapper für die C++-XMRig-Software zum Schürfen der Kryptowährung Monero ist. Das Paket verwendet ungenutzte Ressourcen unter anderem auf Webservern und CI/CD-Systemen (Continuous Integration / Continuous Delivery). Es läuft auf der niedrigsten CPU-Priorität, um die Rechner nicht zu beeinträchtigen. Neben dem Code enthalten zahlreiche Pakete den hartcodierten User-Namen „cute“ in den Konfigurationsdateien. Checkmarx hat den Angriff „cuteboi“ getauft, unter Einbeziehung des offensichtlich nicht rein zufälligen Namens „cloudboi12“, den einer der automatisiert erstellten npm-Accounts trägt. Neben dem Namen findet sich in der Konfiguration eine URL, bei der die geschürfte Kryptowährung landen soll. Checkmarx vermutet, dass unter der Adresse ein XMRig-Proxy läuft. Die Pakete von cuteboi enthalten Binaries der XMRig-Mining-Software für Linux und Windows, deren Namen jeweils zu dem zugehörigen Paket passen. Welche Software den Prozess in den Paketen letztlich starten soll, ist derzeit noch nicht erkennbar. Bemerkenswert ist die hohe Zahl automatisch erstellter npm-Accounts. cuteboi hat dafür mail.tm genutzt, einen Service für Einweg-Mails. Der Dienst hat eine REST-API, über die cuteboi die zum Erstellen eines npm-Accounts erforderliche Anmeldung über Zwei-Faktor-Authentifizierung (2FA) automatisiert hat. Derzeit ist noch unklar, ob die Paketflut tatsächlich einen Krypto-Miner-Angriff vorbereitet oder lediglich ein großer Testballon ist. Die Namen von cutebois npm-Paketen deuten auf kein bekanntes Angriffsmuster wie Typosquatting, Brandjacking oder Dependency Confusion hin, sondern wirken wie zufällig erstellte Zeichenketten.
