Säkerhetsforskare har upptäckt en ny våg av PhantomRaven NPM-attacken, en kampanj som sprider skadliga paket via npm-registret för att stjäla utvecklardata. Operationen riktar sig mot programmerare som omedvetet installerar infekterade beroenden under normalt utvecklingsarbete.
Utredare har identifierat 88 skadliga paket som publicerats genom dussintals falska npm-konton. Paketen ser legitima ut vid första anblick, men de innehåller dolda mekanismer som samlar in känslig information från utvecklingsmiljöer.
Kampanjen visar hur angripare fortsätter att utnyttja open source-ekosystem. Genom att bädda in skadlig kod i utvecklingsverktyg kan hotaktörer i tysthet infiltrera mjukvarans leveranskedjor och stjäla värdefulla autentiseringsuppgifter.
PhantomRaven-kampanjen expanderar i NPM-ekosystemet
Den senaste PhantomRaven-aktiviteten utökar tidigare kampanjer kopplade till samma operation. Forskare identifierade 88 nypublicerade skadliga paket, där många laddades upp via tillfälliga utvecklarkonton.
Paketen efterliknar legitima utvecklingsbibliotek och verktyg som ofta används i JavaScript-projekt. Utvecklare kan installera dem när de söker efter användbara verktyg eller följer automatiska rekommendationer under kodning.
Eftersom npm innehåller miljontals open source-paket kan skadliga bibliotek smälta in i ekosystemet utan att väcka omedelbar misstanke. Denna miljö gör det möjligt för angripare att sprida skadlig kod till ett stort antal utvecklare.
Slopsquatting lockar utvecklare att installera skadlig kod
PhantomRaven NPM-attacken bygger till stor del på en teknik som kallas slopsquatting. Angripare publicerar paket med namn som liknar legitima bibliotek eller verktyg som föreslås av automatiska kodassistenter.
Utvecklare förlitar sig allt oftare på AI-verktyg och kodförslag när de bygger applikationer. När ett föreslaget beroende verkar trovärdigt kan det installeras utan omfattande kontroll.
Hotaktörer utnyttjar detta beteende genom att skapa paket som starkt liknar riktiga bibliotek. När de installeras kör det infekterade beroendet i tysthet dolda skript som samlar in känslig information.
Fjärrstyrda dynamiska beroenden döljer skadlig kod
Angriparna använder en undvikandeteknik som kallas fjärrstyrda dynamiska beroenden. I stället för att bädda in skadlig kod direkt i npm-paketet refererar paketet till ett externt beroende som finns på en fjärrserver.
När en utvecklare kör det vanliga installationskommandot hämtar pakethanteraren denna externa komponent och kör den automatiskt. Eftersom det ursprungliga paketet verkar rent missar automatiserade säkerhetskontroller ofta det skadliga beteendet.
Denna teknik gör det möjligt för angripare att kringgå traditionella skanningssystem som endast analyserar koden i det publicerade paketet.
Skadlig kod riktar sig mot utvecklaruppgifter och tokens
När det skadliga paketet körs börjar skadeprogrammet samla in känslig information från utvecklingsmiljön. Den stulna datan kan omfatta autentiseringsuppgifter, konfigurationsfiler och autentiseringstokens som finns lagrade i systemet.
Forskare observerade försök att samla in information från vanliga konfigurationsfiler som används av utvecklingsverktyg. Dessa filer innehåller ofta inloggningsuppgifter och autentiseringstokens för att få tillgång till kodarkiv eller automatiserade pipelines.
Skadlig kod försöker också samla in miljövariabler som kan innehålla API-nycklar eller distributionshemligheter. I vissa fall söker den specifikt efter CI/CD-tokens kopplade till byggsystem och mjukvarurepositorier.
Sådana autentiseringsuppgifter kan ge angripare direkt åtkomst till privata kodarkiv och utvecklingsinfrastruktur.
Mjukvarans leveranskedjor är fortsatt ett värdefullt mål
PhantomRaven NPM-attacken speglar en bredare trend där cyberkriminella riktar sig mot mjukvaruutvecklingsprocessen. Moderna applikationer är starkt beroende av tredjepartsbibliotek, vilket innebär att ett enda komprometterat beroende kan påverka många projekt.
Genom att angripa utvecklingsverktyg i stället för färdig mjukvara får hotaktörer en kraftfull ingång till företagsmiljöer. Stulna autentiseringsuppgifter kan möjliggöra ytterligare attacker mot kodarkiv, molnplattformar och intern infrastruktur.
Organisationer måste därför behandla beroendehantering som en kritisk säkerhetsnivå. Utvecklare bör noggrant verifiera paket och övervaka installerade beroenden för ovanligt beteende.
Slutsats
PhantomRaven NPM-attacken visar hur mjukvarans leveranskedjor fortfarande är sårbara för skickligt maskerade skadliga paket. Genom att publicera infekterade bibliotek som imiterar legitima verktyg kan angripare infiltrera utvecklingsmiljöer och samla in värdefulla autentiseringsuppgifter.
Tekniker som slopsquatting och fjärrstyrda dynamiska beroenden hjälper skadeprogrammet att undvika traditionella säkerhetskontroller. Dessa metoder gör att den skadliga koden aktiveras först efter installation, vilket försvårar upptäckt.
När utvecklingsflöden i allt högre grad förlitar sig på open source-ekosystem måste organisationer stärka säkerheten kring beroendehantering. Att skydda utvecklingsmiljöer har blivit avgörande för att säkra hela mjukvarans leveranskedja.
0 svar till ”PhantomRaven NPM-attack använder 88 skadliga paket för att stjäla utvecklardata”