Malware geïnjecteerd in populaire npm-packages met 2,6 miljard downloads
Een aanvaller is erin geslaagd via een supply chain-aanval malware te injecteren in populaire npm-packages. De getroffen packages worden wekelijks ruim 2,6 miljard keer gedownload. Dit bevestigt Josh Junon, die de getroffen packages beheert.
Junon is getroffen door een phishingaanval. De ontwikkelaar kreeg een e-mail toegestuurd die verwees naar een malafide website die sprekend lijkt op de legitieme website van npm. In deze e-mail stond dat de accounts van Junon op 10 september zouden worden geblokkeerd, tenzij hij zijn tweefactorauthenticatie (2FA) zou updaten. De aanvaller wist zo toegang te krijgen tot accounts van de ontwikkelaar. Op GitHub zijn berichten verschenen van andere ontwikkelaars die melden dezelfde e-mail te hebben ontvangen.
Aikido Security onderzocht de aanval en meldt dat de aanvallers getroffen packages hebben geüpdatet, waarbij malafide code in de packages is geïnjecteerd. Deze malware maakt het mogelijk netwerkverkeer en applicatie-API's te hijacken. Daarbij zoekt de malware onder meer naar adressen en transacties van cryptowallets, waarbij transacties worden aangepast en doorgeleid naar wallets die onder beheer van de aanvaller staan. Specifiek zoekt de malware naar Bitcoin, Bitcoin Cash, Ethereum, Litecoin, Solana en Tron.
Junon meldt hier de getroffen packages.
Gelukkig waren de gecompromiteerde packages na slechts 2 uur alweer bijgewerkt.
Niet als CI/CD constant staat te bouwen
Je wilt niet weten hoeveel programmeurs dit doen, maar tegen de security-afdeling zeggen dat ze netjes die hashwaarden controleren om van het gezeik af te zijn. Ik kom niet anders tegen. Het is een bijzondere manier van werken: alle dependencies worden blind van internet af getrokken en meegeleverd binnen tienduizenden bedrijven, zonder noemenswaardige controle. Ik heb al aardig wat argumenten gehoord waarom dat allemaal geen kwaad kan. "Open source, dus iedereen kan de code controleren", "Linux is niet vatbaar voor malware", "het is een trusted developer/ community", "de software draait met lage rechten dus er kan niets gebeuren" etc.
Maar goed, het artikel roept wel wat vragen op over operational security practices die worden gehanteerd. En: ook dit soort getrainde mensen vallen voor phishing e-mails. Niets menselijks is ze vreemd.
Als je daar anno 2025 nog intrapt dan ben je echt een pannenkoek
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior Netwerkbeheerder
Netwerk Services
AIVD
Betrouwbaarheid, optimale beveiliging en innovatie: eisen die we stellen aan onze infrastructuur die het belangrijke werk van de AIVD en de MIVD mogelijk maakt. Zorg jij ervoor dat gebruikers altijd op de systemen kunnen rekenen en dat er geen staatsgeheim ontsnapt?
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?