Onderzoekers waarschuwen voor zichzelf verspreidende malware die al vijfhonderd npm-packages heeft geïnfecteerd. Het gaat onder andere om npm-packages van cybersecuritybedrijf CrowdStrike. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages.

Aanvallers wisten de tinycolor npm-package te compromitteren. Een populaire library met meer dan 2,2 miljoen wekelijkse downloads waar allerlei softwareontwikkelaars gebruik van maken. Eenmaal geïnstalleerd zoekt de malware op het systeem van de ontwikkelaar naar tokens waarmee toegang tot andere npm-packages van de betreffende ontwikkelaar kan worden verkregen. Vervolgens voegt de malware zichzelf aan deze packages toe.

Daarnaast verzamelt de malware allerlei inloggegevens en andere secrets zoals tokens en access keys. Vervolgens worden deze gegevens naar een publieke GitHub repository geupload, zo melden cybersecuritybedrijven StepSecurity, Arctic Wolf, Aikido, Ox Security en Socket in analyses. De laatstgenoemde publiceerde een overzicht van vijfhonderd gecompromitteerde npm-packages.

Het gaat ook om packages van cybersecuritybedrijf CrowdStrike. Een woordvoerder laat tegenover The Register weten dat de gecompromitteerde packages inmiddels zijn verwijderd en alle keys in publieke registries zijn veranderd. Verder meldt CrowdStrike dat de betreffende packages niet in de Falcon-beveiligingssoftware worden gebruikt, er met npm wordt samengewerkt en er een uitgebreid onderzoek plaatsvindt.