Npm-packages met 2 miljard wekelijkse downloads zijn met malware geïnfecteerd

In dit artikel:

Onbekende aanvallers hebben recent malware in meerdere populaire npm‑packages geïnjecteerd, waardoor op geïnfecteerde systemen cryptomunt‑miners en credential‑stealers worden geïnstalleerd. Beveiligingsonderzoek door Aikido Security laat zien dat zeker achttien packages zijn getroffen, waaronder veel tools voor ANSI‑codes zoals ansi‑regex, ansi‑styles en strip‑ansi. De vier grootste getroffen pakketten (strip‑ansi, chalk, debug en ansi‑styles) worden gezamenlijk meer dan een miljard keer per week gedownload; alle achttien zouden rond de 2,6 miljard downloads per week tellen.

De getroffen packages behoren tot maintainer Qix, het alias van Josh Junon. Junon bevestigde dat hij het slachtoffer werd van een phishingaanval: via een valse e‑mail werd hem gevraagd zijn tweefactorauthenticatie voor npmjs.com aan te passen, waarna de aanvallers toegang kregen en malafide code konden pushen. De malware onderschept wallet‑API’s voor cryptovaluta zoals Solana en Ethereum en kan netwerkverkeer manipuleren en browserpagina’s nabootsen, waardoor gebruikers ook rechtstreeks kunnen worden opgelicht en geld naar nepaccounts wordt overgemaakt.

Het is nog onduidelijk of Junon inmiddels de controle over de repositories terug heeft en of alle geïnfecteerde versies vervangen zijn; Aikido houdt de situatie in een blogpost bij. Voor ontwikkelaars en gebruikers is dit een herinnering om afhankelijkheden te controleren, npm‑accounts strikt te beveiligen (bij voorkeur met hardware‑2FA), versies en hashes te verifiëren en security‑scans in CI/CD‑pipelines te integreren om supply‑chainaanvallen te beperken.