NPM-pakkeangrep rammer hundrevis av open source-biblioteker

Et omfattende npm-pakkeangrep har kompromittert hundrevis av open source-biblioteker som utviklere bruker verden over. Sikkerhetsforskere advarer om at kampanjen utsatte programvareprosjekter, utviklersystemer og CI/CD-miljøer for stjålne innloggingsopplysninger og destruktiv skadevare.

Hendelsen påvirket pakker med millioner av nedlastinger og skapte ny bekymring rundt den voksende trusselen mot programvareforsyningskjeder. Sikkerhetseksperter forklarer at angripere stadig oftere retter seg mot betrodde pakkearkiver fordi ondsinnede oppdateringer kan spre seg raskt gjennom automatiserte avhengighetssystemer.

Angriperne rettet seg mot betrodde pakker

Forskere oppdaget ondsinnede oppdateringer lastet opp til flere npm-pakker knyttet til populære utviklerøkosystemer. Noen av de kompromitterte bibliotekene tilhørte prosjekter som tusenvis av utviklere og organisasjoner stoler på.

Ifølge etterforskere publiserte angriperne manipulerte versjoner med skjulte skript som kjørte under installasjonen. Disse skriptene gjorde det mulig for skadevaren å aktiveres automatisk når utviklere installerte eller oppdaterte de berørte avhengighetene.

Angrepet utviklet seg raskt. Forskere så at dusinvis av pakker mottok ondsinnede oppdateringer i løpet av kort tid, noe som gjorde det vanskeligere å oppdage angrepet i den tidlige fasen.

Sikkerhetsanalytikere advarer samtidig om at forsyningskjedeangrep blir stadig farligere fordi moderne applikasjoner er sterkt avhengige av tredjepartsbiblioteker. Én kompromittert pakke kan påvirke tusenvis av prosjekter lenger ned i avhengighetskjeden.

Skadevaren stjal sensitiv informasjon

Forskerne sier at angriperne hovedsakelig fokuserte på å stjele innloggingsopplysninger og få tilgang til utviklerkontoer. Den ondsinnede koden forsøkte å samle inn:

• GitHub-innlogginger
• SSH-nøkler
• Skytilgangstokener
• Miljøvariabler
• CI/CD-hemmeligheter
• Autentiseringsopplysninger

Noen av de ondsinnede pakkene inneholdt også funksjoner som kunne slette filer etter at angriperne hadde stjålet sensitiv informasjon. Forskerne ser stadig oftere at cyberkriminelle kombinerer datatyveri med sabotasje under moderne forsyningskjedeangrep.

Skadevaren brukte postinstallasjonsskript og skjulte avhengigheter for å unngå oppdagelse. Teknikken gjorde det mulig å kjøre den ondsinnede koden stille i bakgrunnen uten tydelige varselsignaler.

Etterforskere advarer også om at angripere i stor grad retter seg mot kontoene til pakkevedlikeholdere. Hvis cyberkriminelle stjeler publiseringsrettigheter, kan de få ondsinnede pakker til å fremstå som legitime.

Truslene mot open source-økosystemer vokser

Npm-pakkeangrepet gjenspeiler en bredere økning i angrep mot open source-økosystemer. Sikkerhetsforskere har allerede observert flere kampanjer i år som involverer ondsinnede pakker, manipulerte avhengigheter og tyveri av innloggingsopplysninger.

Eksperter forklarer at npm er et attraktivt mål fordi moderne programvareprosjekter bruker enorme mengder eksterne biblioteker. Mange utviklere installerer også oppdateringer automatisk, noe som gir angripere mulighet til å spre skadevare svært raskt.

Forskerne oppfordrer nå selskaper til å styrke overvåkingen av avhengigheter og beskytte utviklerkontoer bedre. De anbefaler også at organisasjoner gjennomgår pakkeoppdateringer nøye før distribusjon og begrenser unødvendige avhengigheter der det er mulig.

Sikkerhetsteam oppfordrer dessuten utviklere til å bruke automatiserte analyseverktøy som kan oppdage mistenkelig pakkebehov og uautoriserte endringer i avhengighetskjeder.

Konklusjon

Det siste npm-pakkeangrepet viser hvor store risikoene har blitt i moderne programvareforsyningskjeder. Angripere fortsetter å rette seg mot betrodde kodeplattformer fordi vellykkede angrep raskt kan spre skadevare til tusenvis av utviklermiljøer.

Forskere forventer at disse kampanjene fortsetter å utvikle seg etter hvert som cyberkriminelle forbedrer metodene sine for datatyveri og misbruker betrodde publiseringssystemer. Utviklere og selskaper som bruker open source-programvare står derfor under økende press for å sikre avhengigheter, overvåke pakkeaktivitet og beskytte kontoer knyttet til programvaredistribusjon.