En omfattande npm-paketattack har komprometterat hundratals open source-bibliotek som utvecklare använder världen över. Säkerhetsforskare varnar för att kampanjen utsatte mjukvaruprojekt, utvecklarsystem och CI/CD-miljöer för stulna inloggningsuppgifter och destruktiv skadlig kod.
Incidenten påverkade paket med miljontals nedladdningar och väckte nya frågor kring de växande riskerna inom mjukvarans leverantörskedja. Säkerhetsexperter förklarar att angripare allt oftare riktar in sig på betrodda kodbibliotek eftersom skadliga uppdateringar kan spridas snabbt genom automatiserade beroendesystem.
Angriparna riktade in sig på betrodda paket
Forskare upptäckte skadliga uppdateringar i flera npm-paket kopplade till populära utvecklarmiljöer. Några av de komprometterade biblioteken tillhörde projekt som tusentals utvecklare och företag använder dagligen.
Enligt utredare laddade angriparna upp manipulerade versioner med dolda skript som aktiverades under installationen. Det gjorde att skadlig kod kunde köras automatiskt när utvecklare installerade eller uppdaterade de drabbade beroendena.
Attacken utvecklades snabbt. Forskare såg hur angriparna publicerade skadliga uppdateringar till många paket under en kort tidsperiod, vilket försvårade upptäckten i attackens inledande skede.
Säkerhetsanalytiker varnar samtidigt för att leverantörskedjeattacker blir allt farligare eftersom moderna applikationer är starkt beroende av tredjepartsbibliotek. Ett enda komprometterat paket kan påverka tusentals projekt längre ned i beroendekedjan.
Skadlig kod stal känslig information
Forskarna säger att angriparna främst fokuserade på att stjäla inloggningsuppgifter och få tillgång till utvecklarkonton. Den skadliga koden försökte samla in:
- GitHub-inloggningar
- SSH-nycklar
- Molntokens
- Miljövariabler
- CI/CD-hemligheter
- Autentiseringsuppgifter
Vissa skadliga paket innehöll även funktioner som kunde radera filer efter att angriparna stulit känslig information. Forskarna ser allt oftare hur cyberkriminella kombinerar datastöld med sabotage under moderna leverantörskedjeattacker.
Den skadliga koden använde post-installationsskript och dolda beroenden för att undvika upptäckt. Teknikerna gjorde att attacken kunde köras tyst i bakgrunden utan tydliga varningssignaler.
Utredare varnar också för att angripare i hög grad riktar in sig på konton som tillhör paketansvariga utvecklare. Om cyberkriminella stjäl publiceringsuppgifter kan de få skadliga paket att se legitima ut.
Hoten mot open source-ekosystem växer
Npm-paketattacken speglar en bredare ökning av attacker mot open source-ekosystem. Säkerhetsforskare har redan observerat flera kampanjer i år som involverar skadliga paket, manipulerade beroenden och stöld av inloggningsuppgifter.
Experter förklarar att npm är ett attraktivt mål eftersom moderna mjukvaruprojekt använder enorma mängder externa bibliotek. Många utvecklare installerar dessutom uppdateringar automatiskt, vilket ger angripare möjlighet att sprida skadlig kod mycket snabbt.
Forskarna uppmanar nu företag att stärka övervakningen av beroenden och skydda utvecklarkonton bättre. De rekommenderar även att organisationer granskar paketuppdateringar noggrant innan de distribueras och begränsar onödiga beroenden där det är möjligt.
Säkerhetsteam uppmanar dessutom utvecklare att använda automatiserade analysverktyg som kan upptäcka misstänkt paketbeteende och obehöriga förändringar i beroendekedjor.
Slutsats
Den senaste npm-paketattacken visar hur stora riskerna har blivit inom moderna mjukvaruleverantörskedjor. Angripare fortsätter att rikta in sig på betrodda kodplattformar eftersom framgångsrika attacker snabbt kan sprida skadlig kod till tusentals utvecklarmiljöer.
Forskare räknar med att dessa kampanjer fortsätter att utvecklas i takt med att cyberkriminella förbättrar sina metoder för datastöld och missbrukar betrodda publiceringssystem. Utvecklare och företag som använder open source-programvara står därför under växande press att skydda sina beroenden, övervaka paketaktivitet och säkra konton kopplade till mjukvarudistribution.
0 svar till ”NPM-paketattack drabbar hundratals open source-bibliotek”