Malware nutzt Unicode-Steganographie und Google Calendar als C2-Dropper

MÜNCHEN (IT BOLTWISE) – In der Welt der Cybersicherheit gibt es immer wieder neue Herausforderungen, die Unternehmen und Entwickler vor komplexe Aufgaben stellen. Eine kürzlich entdeckte Malware-Kampagne zeigt, wie raffiniert Angreifer mittlerweile vorgehen, um ihre Ziele zu erreichen.

Cybersicherheitsexperten haben eine bösartige npm-Paket namens “os-info-checker-es6” identifiziert, das sich als Betriebssystem-Informationsdienst tarnt, um unbemerkt eine nachfolgende Schadsoftware auf kompromittierten Systemen zu installieren. Diese Kampagne nutzt Unicode-basierte Steganographie, um den initialen Schadcode zu verbergen, und verwendet einen Google-Kalender-Link als dynamischen Dropper für die finale Nutzlast.

Das Paket “os-info-checker-es6” wurde erstmals am 19. März 2025 von einem Nutzer namens “kim9123” im npm-Register veröffentlicht und wurde bis dato 2.001 Mal heruntergeladen. Der gleiche Nutzer hat auch ein weiteres npm-Paket namens “skip-tot” hochgeladen, das “os-info-checker-es6” als Abhängigkeit auflistet. Dieses Paket wurde 94 Mal heruntergeladen.

Während die ersten fünf Versionen keine Anzeichen von Datenexfiltration oder bösartigem Verhalten zeigten, wurde in einer späteren Version, die am 7. Mai 2025 hochgeladen wurde, obfuskierter Code im “preinstall.js”-Datei entdeckt. Dieser Code ist darauf ausgelegt, Unicode-Zeichen zu parsen und eine nachfolgende Nutzlast zu extrahieren.

Der Schadcode kontaktiert einen Google-Kalender-Link mit einem Base64-codierten String als Titel, der zu einem Remote-Server mit der IP-Adresse “140.82.54[.]223” dekodiert wird. Google Calendar dient hier als Vermittler, um die Infrastruktur des Angreifers zu verschleiern.

Derzeit werden keine zusätzlichen Nutzlasten verteilt, was darauf hindeuten könnte, dass die Kampagne entweder noch in Arbeit ist, derzeit ruht oder bereits abgeschlossen ist. Eine weitere Möglichkeit ist, dass der Command-and-Control-Server nur auf bestimmte Maschinen reagiert, die bestimmte Kriterien erfüllen.

Die Nutzung eines legitimen und weit verbreiteten Dienstes wie Google Calendar als Zwischenstation für den nächsten C2-Link ist eine clevere Taktik, um die Erkennung zu umgehen und es schwieriger zu machen, die ersten Phasen des Angriffs zu blockieren.

Die Anwendungssicherheitsfirma und Aikido, die ebenfalls die Aktivitäten detailliert beschrieben haben, stellten fest, dass drei weitere Pakete “os-info-checker-es6” als Abhängigkeit auflisten, obwohl vermutet wird, dass die abhängigen Pakete Teil derselben Kampagne sind.

Das Paket “os-info-checker-es6” stellt eine ausgeklügelte und sich entwickelnde Bedrohung innerhalb des npm-Ökosystems dar. Der Angreifer zeigte eine Entwicklung von scheinbaren Tests hin zu einer mehrstufigen Malware-Implementierung.

Die Offenlegung erfolgt zu einem Zeitpunkt, an dem das Unternehmen für Software-Supply-Chain-Sicherheit, Socket, auf Typoquatting, Missbrauch von Go-Repository-Caching, Obfuskation, mehrstufige Ausführung, Slopsquatting und den Missbrauch legitimer Dienste und Entwicklerwerkzeuge als die sechs Haupttechniken hinweist, die Bedrohungsakteure in der ersten Hälfte des Jahres 2025 angenommen haben.

Um dem entgegenzuwirken, müssen Verteidiger sich auf Verhaltenssignale konzentrieren, wie unerwartete Postinstall-Skripte, Dateiüberschreibungen und unautorisierter ausgehender Datenverkehr, während sie Drittanbieter-Pakete vor der Nutzung validieren.

Statische und dynamische Analysen, Versions-Pinning und eine genaue Überprüfung der CI/CD-Protokolle sind entscheidend, um bösartige Abhängigkeiten zu erkennen, bevor sie in die Produktion gelangen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!