Et omfattende NPM-pakkeangreb har kompromitteret hundredvis af open source-biblioteker, som udviklere bruger verden over. Sikkerhedsforskere advarer om, at kampagnen udsatte softwareprojekter, udviklersystemer og CI/CD-miljøer for stjålne loginoplysninger og destruktiv malware.
Hændelsen påvirkede pakker med millioner af downloads og skabte ny bekymring omkring den voksende trussel mod softwareforsyningskæder. Sikkerhedseksperter forklarer, at angribere i stigende grad går efter betroede pakkearkiver, fordi skadelige opdateringer kan sprede sig hurtigt gennem automatiserede afhængighedssystemer.
Angriberne gik efter betroede pakker
Forskere opdagede skadelige opdateringer uploadet til flere NPM-pakker knyttet til populære udviklerøkosystemer. Nogle af de kompromitterede biblioteker tilhørte projekter, som tusindvis af udviklere og organisationer stoler på.
Ifølge efterforskere uploadede angriberne manipulerede versioner med skjulte scripts, som kørte under installationen. Disse scripts gjorde det muligt for malwaren at aktivere sig automatisk, når udviklere installerede eller opdaterede de berørte afhængigheder.
Angrebet udviklede sig hurtigt. Forskere observerede, at dusinvis af pakker modtog skadelige opdateringer på kort tid, hvilket gjorde det vanskeligere at opdage angrebet i de tidlige faser.
Sikkerhedsanalytikere advarer samtidig om, at forsyningskædeangreb bliver stadig farligere, fordi moderne applikationer er stærkt afhængige af tredjepartsbiblioteker. Én kompromitteret pakke kan påvirke tusindvis af projekter længere nede i afhængighedskæden.
Malwaren stjal følsomme oplysninger
Forskerne siger, at angriberne især fokuserede på at stjæle loginoplysninger og få adgang til udviklerkonti. Den skadelige kode forsøgte at indsamle:
- GitHub-loginoplysninger
- SSH-nøgler
- Cloud-adgangstokens
- Miljøvariabler
- CI/CD-hemmeligheder
- Autentificeringsoplysninger
Nogle af de skadelige pakker indeholdt også funktioner, som kunne slette filer efter at have stjålet følsomme oplysninger. Forskerne ser i stigende grad, at cyberkriminelle kombinerer datatyveri med sabotage under moderne forsyningskædeangreb.
Malwaren brugte postinstallationsscripts og skjulte afhængigheder for at undgå opdagelse. Teknikkerne gjorde det muligt for den skadelige kode at køre lydløst i baggrunden uden tydelige advarselstegn.
Efterforskere advarer også om, at angribere i høj grad går efter konti tilhørende pakkevedligeholdere. Hvis cyberkriminelle stjæler publiceringsrettigheder, kan de få skadelige pakker til at fremstå legitime.
Truslerne mod open source-økosystemer vokser
NPM-pakkeangrebet afspejler en bredere stigning i angreb mod open source-økosystemer. Sikkerhedsforskere har allerede observeret flere kampagner i år, som involverer skadelige pakker, manipulerede afhængigheder og tyveri af loginoplysninger.
Eksperter forklarer, at NPM er et attraktivt mål, fordi moderne softwareprojekter bruger enorme mængder eksterne biblioteker. Mange udviklere installerer desuden opdateringer automatisk, hvilket giver angribere mulighed for at sprede malware meget hurtigt.
Forskerne opfordrer nu virksomheder til at styrke overvågningen af afhængigheder og beskytte udviklerkonti bedre. De anbefaler også, at organisationer gennemgår pakkeopdateringer grundigt før implementering og begrænser unødvendige afhængigheder, hvor det er muligt.
Sikkerhedsteams opfordrer desuden udviklere til at bruge automatiserede analyseværktøjer, som kan opdage mistænkelig pakkeadfærd og uautoriserede ændringer i afhængighedskæder.
Konklusion
Det seneste NPM-pakkeangreb viser, hvor store risiciene er blevet i moderne softwareforsyningskæder. Angribere fortsætter med at gå efter betroede kodeplatforme, fordi succesfulde angreb hurtigt kan sprede malware til tusindvis af udviklingsmiljøer.
Forskere forventer, at disse kampagner fortsætter med at udvikle sig, efterhånden som cyberkriminelle forbedrer deres metoder til datatyveri og misbruger betroede publiceringssystemer. Udviklere og virksomheder, som bruger open source-software, står derfor under stigende pres for at sikre afhængigheder, overvåge pakkeaktivitet og beskytte konti knyttet til softwaredistribution.
0 svar til “NPM-pakkeangreb rammer hundredvis af open source-biblioteker”