Nieuws
image

Malware geïnjecteerd in populaire npm-packages met 2,6 miljard downloads

dinsdag 9 september 2025, 12:44 door Redactie, 7 reacties

Een aanvaller is erin geslaagd via een supply chain-aanval malware te injecteren in populaire npm-packages. De getroffen packages worden wekelijks ruim 2,6 miljard keer gedownload. Dit bevestigt Josh Junon, die de getroffen packages beheert.

Junon is getroffen door een phishingaanval. De ontwikkelaar kreeg een e-mail toegestuurd die verwees naar een malafide website die sprekend lijkt op de legitieme website van npm. In deze e-mail stond dat de accounts van Junon op 10 september zouden worden geblokkeerd, tenzij hij zijn tweefactorauthenticatie (2FA) zou updaten. De aanvaller wist zo toegang te krijgen tot accounts van de ontwikkelaar. Op GitHub zijn berichten verschenen van andere ontwikkelaars die melden dezelfde e-mail te hebben ontvangen.

Aikido Security onderzocht de aanval en meldt dat de aanvallers getroffen packages hebben geüpdatet, waarbij malafide code in de packages is geïnjecteerd. Deze malware maakt het mogelijk netwerkverkeer en applicatie-API's te hijacken. Daarbij zoekt de malware onder meer naar adressen en transacties van cryptowallets, waarbij transacties worden aangepast en doorgeleid naar wallets die onder beheer van de aanvaller staan. Specifiek zoekt de malware naar Bitcoin, Bitcoin Cash, Ethereum, Litecoin, Solana en Tron.

Junon meldt hier de getroffen packages.

Reacties (7)
Reageer met quote
Vandaag, 13:55 door Anoniem
Ik vind 2,6 miljard downloads al veel, maar:
De getroffen packages worden wekelijks ruim 2,6 miljard keer gedownload
Reageer met quote
Vandaag, 14:13 door dingetje - Bijgewerkt: Vandaag, 14:15
Je moet dan ook nooit inloggen via een link in een e-mail...
Gelukkig waren de gecompromiteerde packages na slechts 2 uur alweer bijgewerkt.
Reageer met quote
Vandaag, 14:45 door Anoniem
Geen MFA actief? Anno 2025 moet dat toch wel een beetje standaard zijn. Zeker als er zoveel mensen afhankelijk zijn van jouw werk.
Reageer met quote
Vandaag, 14:46 door Anoniem
Door Anoniem: Ik vind 2,6 miljard downloads al veel, maar:
De getroffen packages worden wekelijks ruim 2,6 miljard keer gedownload

Niet als CI/CD constant staat te bouwen
Reageer met quote
Vandaag, 15:05 door Anoniem
Door Anoniem: Ik vind 2,6 miljard downloads al veel, maar:
De getroffen packages worden wekelijks ruim 2,6 miljard keer gedownload
Niet elk pakket 2,6 miljard keer, het is het totaal voor 18 pakketten. Maar dan nog is het inderdaad verbijsterend veel. Node.js is JavaScript aan de server-side. Die 2,6 miljard komt ongeveer overeen met een derde van de wereldbevolking. Hoeveel servers draaien er eigenlijk tegenwoordig gemiddeld per persoon? Slaat dat nog ergens op? Hebben we een wereldeconomie opgetuigd waarin voornamelijk machines elkaar bezig aan het houden zijn?
Reageer met quote
Vandaag, 15:48 door Anoniem
De eerste keer dat ik cluster fuck wel passend vind…
Reageer met quote
Vandaag, 17:16 door johanw - Bijgewerkt: Vandaag, 17:16
Ik weet niet hoe dat in de webwereld gaat, maar als ik een Signal kloon compileer zit daar een bestand bij met alle gebruikte packages met precieze versie nummer en sha256 waarde. Zomaar de laatste versie downloaden is een bad practice die bovendien veel code snel zal breken. Is dat bij Javascript echt zo slecht geregeld?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Advertentie