rand-user-agent-Paket auf npm mit Trojaner infiziert

Das IT-Sicherheitsunternehmen aikido berichtete am 6. Mai über einen RAT in nicht autorisierten Versionen des npm-Pakets rand-user-agent. Das nodejs-Paket wird von Entwickelnden ca. 45.000 Mal pro Woche heruntergeladen und von diesen für Web-Scraping, automatisierte Tests und IT-Sicherheitsforschungsprojekte eingesetzt.

Laut aikido veröffentlichten Kriminelle im Zuge eines Supply-Chain-Angriffs die mit dem RAT infizierten Versionen 2.0.83, 2.0.84 und 1.0.110 auf npm. Da die letzte offizielle Update-Version 2.0.82 über 7 Monate alt sei, luden wohl eine unbekannte hohe Zahl an Entwickelnden die maliziösen Updates mit dem rand-user-agent-Paket herunter.

Sobald man eine der infizierten Versionen installiere, stelle sich eine Verbindung zu einem Command-and-Control-Server (C2-Server) her, worüber Angreifende sensible Systeminformationen abgreifen könnten. Weiter könnten Kriminelle über den RAT Systembefehle und Schadcode ausführen.

Die infizierten Versionen 2.0.83, 2.0.84 und 1.0.110 seien mittlerweile auf npm entfernt worden. Dennoch sollten Nutzende schnellstmöglich ihre Systeme vollständig prüfen, da eine Deinstallation einer betroffenen Version den RAT nicht entfernt.

• Wenn Sie eines der infizierten Updates installiert haben, deinstallieren Sie dieses umgehend. 
• Prüfen Sie Ihr System danach vollständig mit den von aikido bereitgestellten Kompromittierungsindikatoren (Indicators of Compromise: IoC) und Ihrer eingesetzten Anti-Malware-Software.
• Im Anschluss können Sie die letzte offizielle Version von rand-user-agent neu installieren (siehe Link unten).