Cybersecurity -onderzoekers hebben gewaarschuwd voor een supply chain -aanval die zich op populaire NPM -pakketten heeft gericht via een phishing -campagne die is ontworpen om de NPM -tokens van de projectonderhoud te stelen.
De vastgelegde tokens werden vervolgens gebruikt om kwaadaardige versies van de pakketten rechtstreeks naar het register te publiceren zonder enige broncode commits of pull -aanvragen op hun respectieve GitHub -repositories.
De lijst met getroffen pakketten en hun malafide versies, volgens Socket, is hieronder vermeld –
- Eslint-Config-Prettier (versies 8.10.1, 9.1.1, 10.1.6 en 10.1.7)
- Eslint-plugin-prettier (versies 4.2.2 en 4.2.3)
- Synckit (versie 0.11.9)
- @pkgr/core (versie 0.2.8)
- Napi-PostInstall (versie 0.3.1)
“De geïnjecteerde code probeerde een DLL uit te voeren op Windows -machines, waardoor mogelijk externe code -uitvoering mogelijk is”, aldus het beveiligingsbeveiligingsbedrijf van de software.
De ontwikkeling komt in de nasleep van een phishing -campagne die is gevonden om e -mailberichten te verzenden die zich voordoet aan de NPM om projectonderhouders te misleiden om te klikken op een typosquatted link (“NPNJS (.) Com,” in tegenstelling tot “npmjs (.) COM”) die hun credentials hebben geoogst.
De digitale missieven, met de onderwerpregel “Controleer uw e -mailadres”, spoof een legitiem e -mailadres dat is gekoppeld aan NPM (“Support@npmjs (.) Org”), waarbij ontvangers aanspoorden hun e -mailadres te valideren door op de ingebedde link te klikken.
De nep -bestemmingspagina waarnaar de slachtoffers worden doorgestuurd naar, per socket, is een kloon van de legitieme NPM -inlogpagina die is ontworpen om hun inloggegevens vast te leggen.
Ontwikkelaars die de getroffen pakketten gebruiken, worden geadviseerd om de geïnstalleerde versies te controleren en terug te keren naar een veilige versie. Projectbeheerders worden aanbevolen om tweefactor-authenticatie aan te schaffen om hun accounts te beveiligen en scoped tokens te gebruiken in plaats van wachtwoorden voor het publiceren van pakketten.
“Dit incident laat zien hoe snel phishing-aanvallen op beheerders kunnen escaleren in ecosysteembrede bedreigingen,” zei Socket.
De bevindingen vallen samen met een niet-gerelateerde campagne die NPM heeft overspoeld met 28 pakketten die protestware-functionaliteit bevatten die muisgebaseerde interactie op websites met een Russisch of Wit-Russisch domein kunnen uitschakelen. Ze zijn ook ontworpen om het Oekraïense volkslied op een lus te spelen.
De aanval werkt echter alleen wanneer de sitebezoeker hun browsertaalinstellingen heeft ingesteld op het Russisch en in sommige gevallen wordt dezelfde website een tweede keer bezocht, waardoor alleen herhaalde bezoekers het doelwit zijn. De activiteit markeert een uitbreiding van een campagne die vorige maand voor het eerst werd gemarkeerd.
“Deze protestware onderstreept dat acties die door ontwikkelaars worden ondernomen onopgemerkt kunnen verspreiden in geneste afhankelijkheden en kunnen dagen of weken duren om zich te manifesteren,” zei beveiligingsonderzoeker Olivia Brown.
Arch Linux verwijdert 3 aur -pakketten die chaos rat malware hebben geïnstalleerd
Het komt ook zoals het Arch Linux-team zei dat het drie kwaadaardige AUR-pakketten heeft getrokken die zijn geüpload naar de Arch User Repository (AUR) en verborgen functionaliteit heeft gekregen om een externe toegang te installeren die Chaos Rat genaamd CHAOS RAT van een nu verwijderde Github-repository.
De getroffen pakketten zijn: “Librewolf-Fix-Bin”, “Firefox-Patch-Bin” en “Zen-Browser-After-Bin.” Ze werden gepubliceerd door een gebruiker genaamd “Danikpapas” op 16 juli 2025.
“Deze pakketten installeerden een script uit dezelfde GitHub -repository die werd geïdentificeerd als een externe toegang Trojan (rat),” zeiden de onderhouders. “We moedigen gebruikers die mogelijk een van deze pakketten hebben geïnstalleerd sterk aan om ze uit hun systeem te verwijderen en om de nodige maatregelen te nemen om ervoor te zorgen dat ze niet werden aangetast.”
