Sikkerhetsforskere har avdekket en ny bølge av PhantomRaven NPM-angrepet, en kampanje som distribuerer ondsinnede pakker via npm-registeret for å stjele utviklerdata. Operasjonen retter seg mot programmerere som uvitende installerer infiserte avhengigheter under vanlig utviklingsarbeid.
Etterforskere har oppdaget 88 ondsinnede pakker publisert gjennom dusinvis av falske npm-kontoer. Pakkene fremstår som legitime ved første øyekast, men de inneholder skjulte mekanismer som samler inn sensitiv informasjon fra utviklermiljøer.
Kampanjen viser hvordan angripere fortsetter å utnytte open source-økosystemer. Ved å skjule skadevare i utviklingsverktøy kan trusselaktører stille infiltrere programvareforsyningskjeder og stjele verdifulle legitimasjonsopplysninger.
PhantomRaven-kampanjen utvides i NPM-økosystemet
Den nyeste PhantomRaven-aktiviteten utvider tidligere kampanjer knyttet til samme operasjon betydelig. Forskere identifiserte 88 nylig publiserte ondsinnede pakker, hvor mange ble lastet opp via midlertidige utviklerkontoer.
Pakkene etterligner legitime utviklingsbiblioteker og verktøy som ofte brukes i JavaScript-prosjekter. Utviklere kan installere dem når de søker etter nyttige verktøy eller følger automatiske anbefalinger under koding.
Siden npm inneholder millioner av open source-pakker, kan ondsinnede biblioteker gli inn i økosystemet uten å vekke umiddelbar mistanke. Dette miljøet gjør det mulig for angripere å spre skadelig kode til et stort antall utviklere.
Slopsquatting lokker utviklere til å installere skadevare
PhantomRaven NPM-angrepet baserer seg i stor grad på en teknikk kjent som slopsquatting. Angripere publiserer pakker med navn som ligner legitime biblioteker eller verktøy foreslått av automatiserte kodeassistenter.
Utviklere bruker i økende grad AI-verktøy og kodeforslag når de bygger applikasjoner. Når en foreslått avhengighet virker troverdig, kan den bli installert uten grundig kontroll.
Ondsinnede aktører utnytter denne atferden ved å lage pakker som ligner ekte biblioteker. Når de installeres, kjører den infiserte avhengigheten skjulte skript som samler inn sensitiv informasjon.
Eksterne dynamiske avhengigheter skjuler skadevaren
Angriperne bruker en omgåelsesteknikk kalt eksterne dynamiske avhengigheter. I stedet for å legge skadevaren direkte inn i npm-pakken, refererer pakken til en ekstern avhengighet som ligger på en ekstern server.
Når en utvikler kjører den vanlige installasjonskommandoen, henter pakkebehandleren denne eksterne komponenten og kjører den automatisk. Siden den opprinnelige pakken virker ren, klarer ofte ikke automatiserte sikkerhetsskanninger å oppdage den ondsinnede aktiviteten.
Denne teknikken gjør det mulig for angripere å omgå tradisjonelle skanningssystemer som kun analyserer koden i den publiserte pakken.
Skadevaren retter seg mot utviklerlegitimasjon og tokens
Når den ondsinnede pakken kjøres, begynner skadevaren å samle inn sensitiv informasjon fra utviklermiljøet. Den stjålne informasjonen kan inkludere legitimasjon, konfigurasjonsfiler og autentiseringstokener lagret på systemet.
Forskere observerte forsøk på å hente informasjon fra vanlige konfigurasjonsfiler som brukes av utviklingsverktøy. Disse filene inneholder ofte innloggingsdetaljer og autentiseringstokener for tilgang til kodearkiver eller automatiserte pipelines.
Skadevaren forsøker også å hente miljøvariabler som kan inneholde API-nøkler eller distribusjonshemmeligheter. I noen tilfeller leter den spesifikt etter CI/CD-tokens knyttet til byggesystemer og programvarerepositorier.
Slike legitimasjonsopplysninger kan gi angripere direkte tilgang til private kodearkiver og utviklingsinfrastruktur.
Programvareforsyningskjeder forblir et verdifullt mål
PhantomRaven NPM-angrepet gjenspeiler en bredere trend der cyberkriminelle retter seg mot programvareutviklingsprosessen. Moderne applikasjoner er sterkt avhengige av tredjepartsbiblioteker, noe som betyr at én kompromittert avhengighet kan påvirke mange prosjekter.
Ved å angripe utviklingsverktøy i stedet for ferdig programvare får trusselaktører et kraftig inngangspunkt til bedriftsmiljøer. Stjålne legitimasjonsopplysninger kan muliggjøre videre angrep mot kodearkiver, skyplattformer og intern infrastruktur.
Organisasjoner må derfor behandle avhengighetsstyring som et kritisk sikkerhetslag. Utviklere bør kontrollere pakker nøye og overvåke installerte avhengigheter for uvanlig aktivitet.
Konklusjon
PhantomRaven NPM-angrepet viser hvordan programvareforsyningskjeder fortsatt er sårbare for nøye forkledde ondsinnede pakker. Ved å publisere infiserte biblioteker som etterligner legitime verktøy kan angripere infiltrere utviklermiljøer og hente verdifulle legitimasjonsopplysninger.
Teknikker som slopsquatting og eksterne dynamiske avhengigheter hjelper skadevaren med å unngå tradisjonelle sikkerhetskontroller. Disse metodene gjør at den ondsinnede koden aktiveres først etter installasjon, noe som gjør oppdagelse vanskeligere.
Ettersom utviklingsarbeidsflyter i økende grad er avhengige av open source-økosystemer, må organisasjoner styrke sikkerhetskontrollen rundt avhengighetsstyring. Å beskytte utviklermiljøer er nå avgjørende for å sikre hele programvareforsyningskjeden.
0 svar til “PhantomRaven NPM-angrep bruker 88 skadelige pakker for å stjele utviklerdata”