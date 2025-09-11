Een aanvaller is erin geslaagd de controle over het npm-account van de ontwikkelaar Qix over te nemen via social engineering. Daarbij is malware geïnjecteerd in diverse populaire npm-packages, waaronder debug en chalk. De malafide varianten zijn slechts twee uur verspreid, maar wisten desondanks hun weg te vinden naar diverse websites. Wie deze websites laadden, kreeg hierdoor een malafide payload geserveerd die gericht was op het stelen van cryptomunten.

Dit blijkt uit een analyse van de aanval door cloud securitybedrijf Wiz. Het gaat om een supply chain-aanval. De aanvaller injecteert daarbij malware in npm-packages. Indien een ontwikkelaar deze malafide variant op zijn of haar systeem installeert en vervolgens op dit systeem applicaties ontwikkeld, wordt de malafide code ook meegenomen in deze software. Zo kan de malware zich verspreiden naar gebruikers van deze applicaties.

De malware is specifiek gericht op het stelen van cryptovaluta en richt zich daarbij op cryptowallets. Het zoekt daarbij naar transacties vanuit deze wallet en probeert deze aan te passen. Gebruikers sturen hierdoor ongemerkt cryptovaluta naar een wallet die onder beheer staat van de aanvaller. Uit de analyse van Wiz blijkt overigens dat de aanval de aanvaller weinig winst heeft opgeleverd.