In einer neuen Mini-Shai-Hulud-Lieferkettenattacke haben Bedrohungsakteure am 19. Mai mehr als 600 bösartige Versionen von npm-Paketen verbreitet. Hauptziel der Attacke war das Datenvisualisierungs-Ökosystem AntV. Die infizierten Versionen sind mittlerweile entfernt.
Die IT-Forscher von Socket identifizierten eingangs 639 kompromittierte AntV-Paket-Versionen, die sich auf 323 npm-Pakete verteilen. Laut JFrog hat sich die Zahl inzwischen auf 325 npm-Pakete erhöht. Die Angreifer brachten sie über das gehackte Projekt-Maintainer-Konto atool in Umlauf, das die Pakete im @antv-Namespace veröffentlicht. Weil das kompromittierte Konto mit weitverbreiteten Paketen aus den Bereichen Datenvisualisierung, Graphing, Mapping, Charting und React-Komponenten verknüpft ist, stuft Socket den potenziellen Schaden der Lieferkettenattacke als erheblich ein.
Schädliche Paket-Versionen erschienen zwischen 03:56 und 04:56 Uhr MESZ unter anderem von @antv/g2, @antv/g6, @antv/x6, @antv/l7, @antv/s2, @antv/f2, @antv/g, @antv/g2plot, @antv/graphin, @antv/data-set sowie von timeago.js, size-sensor und canvas-nest.js (vollständige Liste im Socket-Blogpost). Vermint war auch das Paket echarts-for-react, ein weitverbreiteter React-Wrapper für Apache ECharts, der monatlich mehr als eine Million Downloads verzeichnet. Socket entdeckte die bösartigen Versionen laut eigenen Angaben jeweils etwa 6 bis 12 Minuten nach ihrer Veröffentlichung.
