Sikkerhedsforskere har afsløret en ny bølge af PhantomRaven NPM-angrebet, en kampagne der distribuerer ondsindede pakker via npm-registret for at stjæle udviklerdata. Operationen retter sig mod programmører, som uvidende installerer inficerede afhængigheder under almindeligt udviklingsarbejde.
Efterforskere har fundet 88 ondsindede pakker, der er blevet offentliggjort gennem dusinvis af falske npm-konti. Pakkerne ser legitime ud ved første øjekast, men de indeholder skjulte mekanismer, der indsamler følsomme oplysninger fra udviklingsmiljøer.
Kampagnen viser, hvordan angribere fortsat udnytter open source-økosystemer. Ved at skjule malware i udviklingsværktøjer kan trusselsaktører stille infiltrere softwareforsyningskæder og stjæle værdifulde legitimationsoplysninger.
PhantomRaven-kampagnen udvides i NPM-økosystemet
Den seneste PhantomRaven-aktivitet udvider tidligere kampagner knyttet til den samme operation betydeligt. Forskere identificerede 88 nypublicerede ondsindede pakker, hvoraf mange blev uploadet via midlertidige udviklerkonti.
Pakkerne efterligner legitime udviklingsbiblioteker og værktøjer, der ofte bruges i JavaScript-projekter. Udviklere kan installere dem, når de søger efter nyttige værktøjer eller følger automatiske anbefalinger under kodning.
Da npm indeholder millioner af open source-pakker, kan ondsindede biblioteker let smelte ind i økosystemet uden at vække mistanke. Dette miljø gør det muligt for angribere at sprede skadelig kode til et stort antal udviklere.
Slopsquatting lokker udviklere til at installere malware
PhantomRaven NPM-angrebet er i høj grad baseret på en teknik kaldet slopsquatting. Angribere udgiver pakker med navne, der minder om legitime biblioteker eller værktøjer foreslået af automatiserede kodeassistenter.
Udviklere bruger i stigende grad AI-værktøjer og kodeforslag, når de bygger applikationer. Når en foreslået afhængighed virker troværdig, kan den blive installeret uden grundig kontrol.
Ondsindede aktører udnytter denne adfærd ved at skabe pakker, der ligner rigtige biblioteker. Når de installeres, kører den inficerede afhængighed skjulte scripts, der indsamler følsomme oplysninger.
Fjernstyrede dynamiske afhængigheder skjuler malware
Angriberne anvender en undvigelsesteknik kaldet fjernstyrede dynamiske afhængigheder. I stedet for at indlejre den skadelige kode direkte i npm-pakken henviser pakken til en ekstern afhængighed, der ligger på en ekstern server.
Når en udvikler kører den normale installationskommando, henter pakkemanageren denne eksterne komponent og eksekverer den automatisk. Da den oprindelige pakke fremstår ren, opdager automatiserede sikkerhedstjek ofte ikke den ondsindede aktivitet.
Denne metode gør det muligt for angribere at omgå traditionelle scanningssystemer, som kun analyserer koden i selve den offentliggjorte pakke.
Malware retter sig mod udviklerlegitimationsoplysninger og tokens
Når den ondsindede pakke aktiveres, begynder malwaren at indsamle følsomme oplysninger fra udviklingsmiljøet. De stjålne data kan omfatte legitimationsoplysninger, konfigurationsfiler og autentificeringstokens, der er gemt på systemet.
Forskere observerede forsøg på at hente oplysninger fra almindelige konfigurationsfiler, som bruges af udviklingsværktøjer. Disse filer indeholder ofte loginoplysninger og tokens, der giver adgang til kodearkiver eller automatiserede pipelines.
Malwaren forsøger også at indsamle miljøvariabler, som kan indeholde API-nøgler eller deploymentshemmeligheder. I nogle tilfælde søger den specifikt efter CI/CD-tokens, der er knyttet til buildsystemer og software-repositorier.
Sådanne legitimationsoplysninger kan give angribere direkte adgang til private kodearkiver og udviklingsinfrastruktur.
Softwareforsyningskæder er fortsat et værdifuldt mål
PhantomRaven NPM-angrebet afspejler en bredere tendens, hvor cyberkriminelle retter sig mod selve softwareudviklingsprocessen. Moderne applikationer er stærkt afhængige af tredjepartsbiblioteker, hvilket betyder, at én kompromitteret afhængighed kan påvirke mange projekter.
Ved at angribe udviklingsværktøjer i stedet for færdig software får trusselsaktører et effektivt indgangspunkt til virksomheders systemer. Stjålne legitimationsoplysninger kan muliggøre yderligere angreb mod kodearkiver, cloud-platforme og intern infrastruktur.
Organisationer bør derfor betragte afhængighedsstyring som et kritisk sikkerhedslag. Udviklere bør kontrollere pakker nøje og overvåge installerede afhængigheder for usædvanlig aktivitet.
Konklusion
PhantomRaven NPM-angrebet viser, at softwareforsyningskæder fortsat er sårbare over for nøje forklædte ondsindede pakker. Ved at offentliggøre inficerede biblioteker, der efterligner legitime værktøjer, kan angribere infiltrere udviklingsmiljøer og indsamle værdifulde legitimationsoplysninger.
Teknikker som slopsquatting og fjernstyrede dynamiske afhængigheder hjælper malwaren med at undgå traditionelle sikkerhedskontroller. Disse metoder gør det muligt for den ondsindede kode først at blive aktiveret efter installation, hvilket gør opdagelse vanskeligere.
Efterhånden som udviklingsprocesser i stigende grad afhænger af open source-økosystemer, må organisationer styrke sikkerheden omkring afhængighedsstyring. Beskyttelse af udviklingsmiljøer er nu afgørende for at sikre hele softwareforsyningskæden.
0 svar til “PhantomRaven NPM-angreb bruger 88 ondsindede pakker til at stjæle udviklerdata”