Kapret npm-pakker med 2 milliarder ukentlige nedlastinger
Hackere har gjennom et phishingangrep klart å injisere skadevare i et stort antall npm-pakker med totalt 2 milliarder ukentlige nedlastinger.
Angripere har klart å injisere skadevare (malware) i npm-pakker med over 2,6 milliarder ukentlige nedlastinger, etter å ha fått tilgang til kontoen til en utvikler som har vedlikeholdt de aktuelle pakkene. Det skriver Bleeping Computer.
Angrepet skal være ett av de største noensinne, og berører populære pakker som chalk, debug, ansi-styles, supports-color og flere (se hele listen i bunnen av saken).
Utvikleren Josh Junon (qix) bekrefter selv på Blusky å ha blitt utsatt for et phishingangrep. Han skal ha mottatt en e-post som utga seg for å komme fra npmjs.com.
Yep, I've been pwned. 2FA reset email, looked very legitimate. Only NPM affected. I've sent an email off to @npmjs.bsky.social to see if I can get access again. Sorry everyone, I should have paid more attention. Not like me; have had a stressful week. Will work to get this cleaned up.
— Josh Junon (@bad-at-computer.bsky.social) September 8, 2025 at 5:15 PM
[image or embed]
I e-posten truet angriperne med at vedlikeholderens konto ville bli låst hvis han ikke satte opp tofaktor-autentisering, med en lenke til en falsk npmjs-nettside.
Stjeler kryptovaluta
Sikkerhetsselskapet Aikido Security har analysert forsyningskjedeangrepet, som skal ha fungert slik:
- Angriperne tok kontroll over utviklerkontoen.
- Deretter publiserte de nye versjoner av de berørte pakkene
- I de nye pakkeversjonene var index.js-filen modifisert og inneholdt obfuskert kode
Skadevaren er det Aikido kaller en "browser-based interceptor" som kaprer både nettverkstrafikk og applikasjons-API-er. Den injiserer seg selv i blant annet fetch og XMLHttpRequest, og i vanlige kryptovaluta-lommebok-grensesnitt – og kan endre request og response.
Dermed kan skadevaren ligge i bakgrunnen i brukernes nettleser og overvåke nettverkstrafikk for kryptovaluta-adresser og transaksjoner, og omdirigere disse til angripernes egne kryptolommebøker.
Disse er berørt
Foreløpig ser det ut til at totalt 18 npm-pakker er berørt.
Her er listen:
- backslash (0,26 millioner nedlastinger per uke)
- chalk-template (3,9 millioner nedlastinger per uke)
- supports-hyperlinks (19,2 millioner nedlastinger per uke)
- has-ansi (12,1 millioner nedlastinger per uke)
- simple-swizzle (26,26 millioner nedlastinger per uke)
- color-string (27,48 millioner nedlastinger per uke)
- error-ex (47,17 millioner nedlastinger per uke)
- color-name (191,71 millioner nedlastinger per uke)
- is-arrayish (73,8 millioner nedlastinger per uke)
- slice-ansi (59,8 millioner nedlastinger per uke)
- color-convert (193,5 millioner nedlastinger per uke)
- wrap-ansi (197,99 millioner nedlastinger per uke)
- ansi-regex (243,64 millioner nedlastinger per uke)
- supports-color (287,1 millioner nedlastinger per uke)
- strip-ansi (261,17 millioner nedlastinger per uke)
- chalk (299,99 millioner nedlastinger per uke)
- debug (357,6 millioner nedlastinger per uke)
- ansi-styles (371,41 millioner nedlastinger per uke)
– Det som gjør den farlig, er at den opererer på flere nivåer: den endrer innholdet som vises på nettsider, manipulerer API-kall, og påvirker hva brukernes apper tror de signerer. Selv om grensesnittet ser riktig ut, kan den underliggende transaksjonen bli omdirigert i bakgrunnen, skriver Aikido.
