Istraživači sajber sigurnosti upozorili su na napad na lanac snabdijevanja koji je ciljao popularne npm pakete putem phishing kampanje osmišljene za krađu npm tokena održavatelja projekta.
Zarobljeni tokeni su zatim korišteni za objavljivanje malicioznih verzija paketa direktno u registar bez ikakvih potvrda izvornog koda ili zahtjeva za povlačenjem na njihovim odgovarajućim GitHub repozitorijima.
Spisak pogođenih paketa i njihovih lažnih verzija, prema Socketu, naveden je u nastavku –
- eslint-config-prettier (verzije 8.10.1, 9.1.1, 10.1.6 i 10.1.7)
- eslint-plugin-prettier (verzije 4.2.2 i 4.2.3)
- synckit (verzija 0.11.9)
- @pkgr/core (verzija 0.2.8)
- napi-postinstall (verzija 0.3.1)
“Ubrizgani kod je pokušao izvršiti DLL na Windows mašinama, potencijalno omogućavajući udaljeno izvršavanje koda”, saopštila je firma za sigurnost softverskog lanca snabdijevanja.
Razvoj događaja dolazi nakon phishing kampanje za koju je utvrđeno da šalje e-mail poruke koje se lažno predstavljaju kao npm kako bi prevarile održavatelje projekta da kliknu na link s tipografskom greškom („npnjs[.]com“, za razliku od „npmjs[.]com“) koji je prikupio njihove pristupne podatke.
Digitalne poruke , s naslovom “Molimo vas da potvrdite svoju adresu e-pošte”, lažirale su legitimnu adresu e-pošte povezanu s npm-om (“support@npmjs[.]org”), pozivajući primaoce da potvrde svoju adresu e-pošte klikom na ugrađeni link.
Lažna početna stranica na koju se žrtve preusmjeravaju, prema Socketu, je klon legitimne npm stranice za prijavu koja je dizajnirana da prikupi njihove podatke za prijavu.
Programerima koji koriste pogođene pakete preporučuje se da provjere instalirane verzije i vrate se na sigurnu verziju. Održavateljima projekata preporučuje se da uključe dvofaktorsku autentifikaciju kako bi osigurali svoje račune i da koriste tokene s određenim opsegom umjesto lozinki za objavljivanje paketa.
„Ovaj incident pokazuje koliko brzo phishing napadi na održavatelje mogu eskalirati u prijetnje cijelom ekosistemu“, rekao je Socket.
Nalazi se poklapaju s nepovezanom kampanjom koja je preplavila npm s 28 paketa koji sadrže funkcionalnost protestwarea koja može onemogućiti interakciju mišem na web stranicama s ruskim ili bjeloruskim domenom. Također su dizajnirani da neprestano reproduciraju ukrajinsku himnu.
Međutim, napad funkcionira samo kada posjetitelj stranice ima ruske postavke jezika u pregledniku, a u nekim slučajevima, ista web stranica se posjećuje drugi put, čime se osigurava da su ciljani samo ponovljeni posjetitelji. Aktivnost označava proširenje kampanje koja je prvi put prijavljena prošlog mjeseca.
„Ovaj protestni softver naglašava da se radnje koje preduzimaju programeri mogu nezapaženo širiti u ugniježđenim zavisnostima i da im je potrebno nekoliko dana ili sedmica da se manifestuju“, rekla je istraživačica sigurnosti Olivia Brown .
Arch Linux uklanja 3 AUR paketa koji su instalirali zlonamjerni softver Chaos RAT
Takođe, Arch Linux tim je izjavio da je iz uklonjenog GitHub repozitorija izvukao tri maliciozna AUR paketa koji su postavljeni u Arch User Repository ( AUR ) i koji su sadržavali skrivenu funkcionalnost za instaliranje trojanca za udaljeni pristup pod nazivom Chaos RAT .
Pogođeni paketi su: ” librewolf-fix-bin “, ” firefox-patch-bin ” i ” zen-browser-patched-bin “. Objavio ih je korisnik pod imenom “danikpapas” 16. jula 2025. godine.
„Ovi paketi su instalirali skriptu iz istog GitHub repozitorija koja je idenfikovao kao trojanac za udaljeni pristup (RAT),“ rekli su održavatelji . „Snažno preporučujemo korisnicima koji su možda instalirali jedan od ovih paketa da ih uklone sa svojih sistema i preduzmu potrebne mjere kako bi osigurali da nisu kompromitovani.“
Izvor:The Hacker News
