Een aanvaller is erin geslaagd de controle over het npm-account van de ontwikkelaar Qix over te nemen via social engineering. Daarbij is malware geïnjecteerd in diverse populaire npm-packages, waaronder debug en chalk. De malafide varianten zijn slechts twee uur verspreid, maar wisten desondanks hun weg te vinden naar diverse websites. Wie deze websites laadden, kreeg hierdoor een malafide payload geserveerd die gericht was op het stelen van cryptomunten.

Dit blijkt uit een analyse van de aanval door cloud securitybedrijf Wiz. Het gaat om een supply chain-aanval. De aanvaller injecteert daarbij malware in npm-packages. Indien een ontwikkelaar deze malafide variant op zijn of haar systeem installeert en vervolgens op dit systeem applicaties ontwikkeld, wordt de malafide code ook meegenomen in deze software. Zo kan de malware zich verspreiden naar gebruikers van deze applicaties.

De malware is specifiek gericht op het stelen van cryptovaluta en richt zich daarbij op cryptowallets. Het zoekt daarbij naar transacties vanuit deze wallet en probeert deze aan te passen. Gebruikers sturen hierdoor ongemerkt cryptovaluta naar een wallet die onder beheer staat van de aanvaller. Uit de analyse van Wiz blijkt overigens dat de aanval de aanvaller weinig winst heeft opgeleverd.

Wiz waarschuwt dat de lijst met getroffen packages niet volledig is en nog wordt uitgebreid. Zo wijst het erop dat de campagne volgens JFrog breder is dan alleen de packages van Qix en ook andere ontwikkelaars treft. Eerder deze week meldde ook de ontwikkelaar Josh Junon dat hij getroffen is door een cyberaanval via social engineering. In dit geval werd malware geïnjecteerd in npm-packages van deze ontwikkelaar, die op wekelijkse basis gemiddeld 2,6 miljard keer worden gedownload. Ook zijn op GitHub berichten verschenen van andere ontwikkelaars die melden dezelfde phishingmail te hebben ontvangen.