Aanvallers zijn erin geslaagd om verschillende populaire npm-packages met tientallen miljoenen downloads per week via een phishingaanval van malafide code te voorzien. Het ging onder andere om de npm-package eslint-config-prettier, die wordt gebruikt bij het opmaken van code. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages.

Vrijdag verschenen er nieuwe versies van eslint-config-prettier, maar deze aanpassingen waren niet in de GitHub repository van het project te vinden. Naast eslint-config-prettier ging het ook om snyckit, @pkgr/core en napi-postinstall. Aanvallers hadden malware aan de packages toegevoegd die configuratiebestanden kan stelen. Deze bestanden bevatten vaak authenticatie-tokens die voor verdere aanvallen zijn te gebruiken, zo laat Invoke Reversing in een analyse weten.

De maintainer van het project maakte vervolgens via GitHub en X bekend dat hij in een phishingaanval was getrapt. In de phishingmail werd gesteld dat de maintainer zijn account moest verifiëren. In een reactie op het incident laat de ontwikkelaar weten dat hij zijn npm-token heeft verwijderd en nieuwe versies van de getroffen projecten zal uitbrengen. Ook maakt hij excuses voor naar eigen zeggen zijn nalatigheid.

"Ik heb alleen het e-mailadres gecontroleerd en mijn @Synology mailservice vertrouwd waar SPF en DMARC staan ingeschakeld, dus ik lette niet op. Ik begrijp nog steeds niet hoe de DMARC-controle is te omzeilen", laat de ontwikkelaar verder op X weten. Nader onderzoek wijst volgens de ontwikkelaar uit dat npm alleen npmjs.com voor e-mail gebruikt en voor npmjs.org geen DMARC-record staat ingeschakeld, waardoor DMARC niet zoals verwacht werkt.