Supply-chain hack raakt miljarden npm-downloads

In dit artikel:

Op 8 september 2025 zijn via een phishingaanval het maintainer-account van gebruiker “qix” en daarop aangesloten npm-pakketten gekaapt. De aanvaller gebruikte een misleidend domein dat sterk leek op het officiële npm-domein en publiceerde vervolgens kwaadwillende nieuwe versies van achttien libraries, waaronder veelgebruikte pakketten als Chalk en Debug. De getroffen bundels vertegenwoordigen gezamenlijk meer dan 2 miljard wekelijkse downloads, wat onderzoekers doet spreken van mogelijk de grootste supply-chain-aanval in het open-source‑ecosysteem tot nu toe.

De toegevoegde malware is gericht op browser-cryptowallets: zodra een pagina met window.ethereum wordt gedetecteerd, onderschept de code wallet-interacties en kan transacties of goedkeuringen omleiden naar adressen van de aanvaller. Omdat Chalk en Debug door talloze frameworks en afhankelijkheden worden gebruikt, lopen projecten die automatisch updates trekken het grootste risico; binnen een uur na ontdekking werden de malafide versies deels uit de npm-registry gehaald, maar besmettingen kunnen al wijdverspreid zijn.

Securitybedrijven zoals Aikido, Endor Labs en Semgrep hebben detectieregels vrijgegeven. Aanbevolen stappen zijn downgraden naar versies van vóór 8 september 2025, lockfiles verwijderen en dependencies opnieuw installeren, codebases scannen met SCA-tools of npm audit, en npm-accounts met MFA of hardware tokens beveiligen. Het incident benadrukt opnieuw hoe één gekaapt account wereldwijd vertrouwen in de softwareketen kan ondermijnen.