Microsoft ontdekt nieuwe npm-aanval in 14 packages

maandag, 1 juni 2026 (11:26) - Techzine

In dit artikel:

Microsoft ontdekte op 28 mei een nieuwe supply chain-aanval via het npm-register: een aanvaller publiceerde in enkele uren veertien kwaadaardige npm-pakketten die zich voordeden als hulpmiddelen voor OpenSearch, Elasticsearch en aanverwante ontwikkeltools. De code was ontworpen om tijdens installatie gevoelige toegangsgegevens te verzamelen uit cloud- en CI/CD-omgevingen, met name diensten zoals AWS, HashiCorp Vault, GitHub Actions en npm zelf.

Alle gevonden packages bevatten dezelfde malware: een eerste installatiecomponent verzamelde systeem- en omgevingsinformatie en laadde daarna een tweede module die gericht was op het stelen van tokens, inloggegevens en andere geheimen. Met die gestolen credentials kunnen aanvallers laterale bewegingen maken binnen een organisatie, extra data bemachtigen of zelfs malafide updates publiceren via gecompromitteerde ontwikkelaarsaccounts.

De aanvaller gebruikte misleiding om downloads te stimuleren: typosquatting (namen die slechts licht afwijken van legitieme pakketten), het kopiëren van metadata zoals links naar echte projectsites en hoge versienummers om een lange ontwikkelgeschiedenis te suggereren. Er werden twee uitvoeringsvarianten waargenomen: een klassieke npm-installatiehook die direct bij installatie werkte, en een subtielere techniek die eerst controleerde op de Bun-runtime en, indien afwezig, een ogenschijnlijk legitieme Bun-versie binnenhaalde om de kwaadaardige code uit te voeren — bedoeld om detectie te bemoeilijken.

Microsoft heeft de malafide pakketten uit het npm-register laten verwijderen en waarschuwt organisaties na te gaan of ontwikkelaars sinds 28 mei een van de besmette pakketten hebben geïnstalleerd of gebruikt in buildprocessen. Als dat het geval is, adviseert het bedrijf om alle mogelijk blootgestelde secrets te vervangen — denk aan AWS-credentials, Vault-tokens, npm-publicatierechten en GitHub Actions-credentials.

Deze campagne illustreert een bredere trend waarin aanvallers ontwikkelomgevingen als instappunt gebruiken: toegang tot CI/CD- en cloudaccounts levert vaak ruimere toegangswegen naar broncode, bedrijfsdata en productiesystemen. Als aanvullende context is het nuttig dat teams afhankelijkheden beperken, package-auteurs verifiëren, afhankelijkheidsscans en SBOMs toepassen, en het principe van least privilege hanteren voor CI- en cloud-tokens om het risico van dit soort supply chain-aanvallen te verkleinen.