2025. 10. 25., 18:01

A Cloudflare automatikusan megállította az npm elleni támadást

A Cloudflare automatikusan megállította az npm elleni támadást
2025 szeptemberének elején komoly támadás érte az egyik legnagyobb JavaScript-csomagtárat, az npm-et. A hackerek sikeres adathalász e-maillel fértek hozzá megbízható fejlesztői fiókokhoz, majd 18 rendkívül népszerű npm-csomag (például Chalk [Kréta], Debug [Hibakereső], Ansi-styles [ANSI-stílusok]) rosszindulatú verzióit tették közzé. Ezek a csomagok együtt hetente több mint kétmilliárd letöltést generálnak. Az érintett weboldalak és alkalmazások felhasználóinak kriptoeszközeit, pénztárcáit veszélyeztették: a káros csomagok nemcsak a végfelhasználók pénzét lophatták el, hanem más, ugyanazon fejlesztő tulajdonában lévő csomagokat is módosíthattak, sőt, fejlesztői jogosultságokat is megszerezhettek automatizált rendszerekhez vagy felhőszolgáltatásokhoz.

Feltűnés nélkül szűrték ki a veszélyes csomagokat

Nem elhanyagolható tényező, hogy a Cloudflare Page Shield szolgáltatása minden nap 3,5 milliárd (!) kliensoldali JavaScriptet vizsgál át, vagyis másodpercenként körülbelül 40 000 szkripten fut át. Ezekből átlagosan kevesebb mint 0,3% bizonyul ténylegesen rosszindulatúnak – ezt a Cloudflare MI-alapú szkriptérzékelő rendszere határozza meg.

A rendszer a JavaScript-kódot úgynevezett absztrakt szintaxisfára (Abstract Syntax Tree) bontja, és ebből tanítja be az üzenetalapú gráfkonvolúciós hálóját (MPGCN). Ez lehetővé teszi, hogy ne kézzel írt szabályok, hanem valódi mintafelismerés segítse a döntést arról, mitől tekinthető rossznak vagy jónak egy kód. Például ebben az npm-kampányban a támadók obfuszkált kódot használtak, és olyan belépési pontokat módosítottak (mint a böngészőben elérhető window.ethereum), ahol kriptocímeket cseréltek le a saját számlájukra. A gépi tanulás nem konkrét függvényeket figyel, hanem szerkezetekből és szintaxisból von le következtetéseket, így a módszer a jövőbeli támadási trükkökkel szemben is véd.

Egy szkript esetén az MI egy valószínűségi pontszámot ad, amely 1-től 99-ig terjed. Az alacsony érték fenyegetést jelent, a magas biztonságosnak számít. A detektálás villámgyors: 0,3 másodperc alatti.

Magas hatékonyság – a számok nem hazudnak

Az MI-modell folyamatos fejlesztés alatt áll: jelenleg a sikeres felismerés (F1-érték) 94%, a pontosság (precision) 98%, az érzékenység (recall) pedig 90%. Ez jelentős javulás; például a felismerés 123%-kal nőtt a tavalyihoz képest, ami főként annak köszönhető, hogy több és változatosabb, célirányosan kiválogatott tanítókészletet használnak.

Noha másodpercenként átlagosan akár 2 téves riasztás is előfordulhat a rendszerben, ezeket MI-modellek és biztonsági szakértők is átvizsgálják. A legnehezebb esetekben olyan szkript is bekerülhet, amely például minden adatot figyel, de kizárja a bankkártyaadatokat, vagy túlzott felhasználókövetést, dinamikus betöltést alkalmaz. Ezeknél csak a kapcsolódó domainek megbízhatósága szab valódi választóvonalat. Az így megcímkézett szkriptek újra bekerülnek a tanítási folyamatba, amely ezzel önmagát finomítja.

Megjegyzendő, hogy a mostani, ismeretlen technikát használó npm-csomagokat is sikeresen azonosította a Page Shield – úgy, hogy ezek a támadás előtt nem szerepeltek a tanító adatok között.

Statikus és dinamikus vizsgálat egyaránt fontos

A statikus szkriptvizsgálat rengeteg esetben hatékony, különösen tipikus csomagkezelőknél, mint az npm. Viszont a bonyolultabb helyzetek – például adatlopó vagy felhasználókövető kódok – miatt a Cloudflare a jövőben kontextuális információkat, szkript-URL-eket, oldalhivatkozásokat, a szkript csatlakozási célpontjait és hasonlókat is be akar vonni az MI-jelzésekbe. Az új agentikus MI-megközelítések már képesek JavaScript-futtatókörnyezeteket eszközként kezelni, így ötvözni lehet a statikus elemzést és a valós idejű dinamikus elemzést a hamis pozitív esetek kiszűrésére.


Régi módszert nyugdíjazzák, hatékonyság az első

Noha három évvel ezelőtt a Magecart-típusú adatszivárogtató támadásokra külön viselkedésalapú elemzőt indítottak (Code Behaviour Analysis), a mostani, MPGCN-alapú megközelítés minden szempontból hatékonyabb. Ezért 2025 végén megszűnik a régi rendszer, és a fejlettebbet használják tovább. Ez alapján arra lehet következtetni, hogy a jövő ellátási láncot érintő támadásait még gyorsabban észlelhetik.

Gyakorlati védekezés és teendők

A Cloudflare Page Shield felhasználói körében nem jelent meg forgalom a kompromittált npm-csomagokkal kapcsolatban. Más támadások esetén az MI már perceken belül érzékeli a forgalmat. Most a fertőzött csomagokat kevesebb mint két óra alatt frissítették, a támadáshoz viszont el kellett volna érnie, hogy a végfelhasználói alkalmazásokba is beépüljenek – vélhetően ez már meghiúsította a próbálkozást.

Ennek ellenére érdemes a következőket átnézni:

– Ellenőrizd a függőségeidben nemrég megjelent, különösen 2025 szeptemberében publikált verziókat (package-lock.json, npm ls).

– Forgasd le újra az összes olyan jogosultságot vagy hitelesítést, amely kikerülhetett a buildfolyamataid során.

– Vond vissza és cseréld ki minden CI/CD- vagy szolgáltatáskulcsot (GitHub Actions, npm-tokenek, felhőhozzáférési adatok).

– Rögzítsd a függőségeket ismert jó verziókhoz, vagy használj lockfile-t, valamint hitelesített fejlesztőlistát, amennyiben a csomagtár kínál ilyet.

– Vizsgáld át a buildlogokat és repókat, keresd az ismeretlen webhookokat vagy workflow-változtatásokat.

Automatikus védelem mellett is kell az éberség

Noha lassan már minden oldalépítéshez szükségesek az MI-alapú védelmek, az igazi biztonság csak ezek éber használatával érhető el. A súlyos, gyors lánctámadások ellen gépi védelem nélkül szinte lehetetlen védekezni ilyen letöltésszámok mellett. Minden fejlesztőnek és üzemeltetőnek érdemes rendszeresen ellenőriznie a Page Shield Script-detektorát, amely pirossal jelöli a megbízhatatlan csomagokat és kapcsolódásokat. Aki teljes kockázatfelmérésre kíváncsi, gyorsan igényelhet egy ingyenes, személyre szabott kliensoldali kockázatelemzést is.

2025, adminboss, blog.cloudflare.com alapján

Legfrissebb posztok

MA 10:25

Az amerikai kormány zöld utat ad a legerősebb Claude-oknak

Az Anthropic szerdától újra elérhetővé teszi a csúcskategóriás Claude Fable 5-öt, miután a Kereskedelmi Minisztérium feloldotta az exportkorlátozásokat...

MA 10:01

A Meta-leépítések után is cáfolja az MI miatti állásfélelmeket Zuckerberg

A technológiai iparban egyre nagyobb félelem övezi azt, hogy az MI széles körű elterjedése mennyi munkahely megszűnéséhez vezethet...

MA 09:25

A rejtélyesen eltűnő chatek: felháborodtak a Claude Code-felhasználók

Érdemes megvizsgálni, hogy a Claude Code felhasználói egyre gyakrabban panaszkodnak arra, hogy egyik napról a másikra eltűnnek a beszélgetési előzményeik...

MA 09:14

A Pokémon GO júliusa: új raidfőnökök, kiemelt órák, GO Fest-őrület

Júliusban a Pokémon GO rajongóira izgalmas hónap vár, hiszen a mobileszközökön futó játék tizedik évfordulóját ünnepli, miközben a Forever Forward szezon tovább pörög...

APP
MA 09:12

APPok, Amik Ingyenesek MA, 7/1

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     ImgRef (iPhone/iPad)Az App Store szerkesztői által kiemelten ajánlott alkalmazás lenyűgöző, 98%-os ötcsillagos értékeléssel büszkélkedhet...

MA 09:01

Az MI rejtett szívkockázati jelre bukkant a százéves EKG-ban

❤ A hirtelen szívhalál évente rengeteg áldozatot követel, jóllehet a beültethető defibrillátorok már évtizedek óta képesek lennének megelőzni a tragédiák jelentős részét...

MA 08:37

A NASA négy új robotküldetéssel tör utat a holdbázisnak

🚀 Megemlíthető, hogy az amerikai űrügynökség egyre nagyobb lendülettel dolgozik azon, hogy hosszú távú emberi jelenlétet teremtsen a Holdon...

MA 08:25

Az MI-lökéshullám felpörgeti a Dell bevételeit, de messze nem aranybánya

Michael Dell idén egészen elképesztő sikereket ér el: cége meghatározó beszállító lett az adatközpont-fejlesztésekben, többek között a CoreWeave és az xAI számára szállít Nvidia-alapú szervereket, rackeket, hűtőrendszereket, valamint támogatást, miközben együttműködik a Microsofttal, a Google-lel és az OpenAI-jal is nagy teljesítményű MI-rendszerek építésében...

MA 08:13

A 6 milliós Pokémon-kártyalopásért több mint tíz év börtönt kapott

💰 Egy észak-karolinai férfi több mint tíz év börtönt kapott, miután beismerte, hogy januárban Pokémon-kártyákat és pénzt lopott egy helyi videójátékbolt alkalmazottjától Wilmingtonban...

MA 08:01

A Szamóca-hold ma este: az év legalacsonyabb, apró teliholdja

🍇 Idén június 29-én érdemes az eget figyelni: ekkor látható a júniusi telihold, más néven az Eperhold (Strawberry Moon), ami az év legalacsonyabban járó és egyik legkisebb teliholdja lesz...

MA 07:48

Az Android 17 új zárképernyő-trükkje bárkit elbuktat betöréskor

Az Android 17 jelentős szigorításokat vezet be a zárolóképernyőn, amellyel gyakorlatilag ellehetetleníti a PIN vagy jelszó feltörését...

MA 07:36

A kínai Lineshine szuperszámítógép világrekorder: közel 2 kvadrillió művelet/mp

A kínai LineShine szuperszámítógép most először szerezte meg a világelsőséget a számítási sebesség terén...

MA 07:25

Az amerikai agrárminisztérium 180 millió legyet enged szabadon – íme, miért

A mexikói Metapában egy vadonatúj, 2043 négyzetméteres üzemben indult el az Egyesült Államok mezőgazdasági minisztériumának (USDA) legújabb programja: steril legyek tömeges előállítása...

MA 07:13

A Microsoft felpörgeti kvantumbiztos ütemtervét, nőnek a kockázatok

⚡ A Microsoft az eddigieknél sokkal gyorsabban készül átállni a kvantumbiztos védelemre, mert a kvantumszámítógépek fejlődése minden korábbinál nagyobb fenyegetést jelent a jelenlegi titkosítási szabványokra...

MA 06:49

Az MI‑böngészők új réme: a BioShocking-adatlopás

Felmerül a kérdés, hogy mennyire bízhatunk meg a mesterséges intelligenciával hajtott böngészőkben, ha egy új támadás képes kijátszani a biztonsági korlátokat...

MA 06:37

A Samsung szó szerint átformálja a hajlítható telefonjait?

Ahogy beköszönt a nyár, egyre hangosabbak a pletykák a Samsung legújabb összehajtható telefonjairól...

MA 06:06

Történelmi események a mai napon (Július 1.)

Ma háborúk fordulópontjai, birodalmak átrendeződései és új korszakokat nyitó tudományos, társadalmi mérföldkövek találkoznak...

MA 06:01

Az okosabb botvédelem mostantól megóvja a Teams-megbeszéléseket

🔒 A Microsoft fejlesztéseinek köszönhetően mostantól jóval biztonságosabbak lesznek a Teams-megbeszélések, hiszen egy új szabályozás lehetővé teszi, hogy a felhasználók blokkolják az engedély nélküli, harmadik féltől származó botok csatlakozását...

kedd 18:32

A Cleveland-i Fed elnöke szerint MI fűti az inflációt – jöhet újabb kamatemelés

A mesterséges intelligencia infrastruktúrája iránti fékezhetetlen igény egyre nagyobb mértékben fűti az inflációt – figyelmeztetett Beth Hammack, a clevelandi Szövetségi Tartalékbank elnöke...

kedd 18:01

A Samsung Messages júliusban leáll: ezt az 5 dolgot tedd meg azonnal!

⚠ A Samsung Messages alkalmazás hamarosan végleg eltűnik az amerikai felhasználók mobiljáról, így akinek fontosak a régi üzenetei, vagy továbbra is csevegni szeretne, érdemes minél előbb lépnie...

kedd 17:02

Az új CRISPR az epigenomot célozza, átírja a gének kapcsolóit

🔨 Felmerül a kérdés, hogy mi lenne, ha a betegségeket nem csupán a DNS szerkesztésével, hanem a gének működésének speciális beállításával lehetne kezelni?..

kedd 16:31

A Tata Electronicsnál múlt héten kiszivárogtak érzékeny iPhone-beszállítói adatok

Az elmúlt héten hatalmas adatlopás történt az indiai Tata Electronicsnál, ahol közel 630 GB-nyi bizalmas információ került illetéktelen kezekbe...

kedd 16:01

A YouTube-on már nézhető a Peacock – épp a vb-re!

A Peacock Premium Plus már elérhető a YouTube Primetime Channels szolgáltatáson keresztül, így mostantól közvetlenül a YouTube alkalmazásban is előfizethetsz rá, és nézheted az összes tartalmat – legyen szó mobilról, tabletről vagy okostévéről...

kedd 15:01

A Blackfield 2 millió dollárt követel a Nidec-től

💸 A világ egyik legnagyobb motor- és elektronikai alkatrészgyártójaként ismert, több mint 100 ezer embert foglalkoztató japán Nidec Corporation most hatalmas nyomás alatt áll: a Blackfield zsarolóvírus-banda 2 millió dollárt, vagyis körülbelül 726 millió forintot követel tőle...

kedd 14:32

A Sentryn át eltérítették a Claude Code-ot; Datadog, PagerDuty, Jira is veszélyben

A Claude Code MI-ügynök elleni támadás meglepő módon mindent kikerült, amit ma védelemnek nevezünk...

kedd 12:01

A kínai szuperszámítógép a világ leggyorsabbja, lehagyta Amerikát

A kínai LineShine nevű szuperszámítógép lett a világ leggyorsabbja, első ízben 2017 óta, hogy ismét kínai gép vezeti a mezőnyt...

kedd 11:31

A tenger alatti alagutaké a jövő Shetlanden: összekötnék a szigeteket

🚦 Érdemes megvizsgálni, hogy a Shetland-szigetek vezetése radikális változtatásra készül a közlekedésben: egy 1,5 milliárd angol font (650 milliárd forint) értékű terv szerint az elöregedő kompokat víz alatti alagutak válthatják fel a következő nyolc éven belül...

kedd 10:50

Az MI-láz: száguldó milliárdok, közeleg a következő válság?

A 19. század csatornaépítési és vasúti láza, a dotkom-lufi 2000-ből – mind gazdaságtörténeti példák arra, hogy valódi technológiai áttörések túlfűtött beruházási hullámokat indíthatnak el, amelyek végül recesszióval végződhetnek...

kedd 10:24

Az IBM rekordja: közel 100 milliárd tranzisztor egyetlen chipen

Az IBM újabb mérföldkőhöz érkezett a chiptechnológia világában: bemutatta a világ első, 1 nanométernél kisebb csíkszélességű technológiáját, mellyel egy körömnyi lapkán közel 100 milliárd tranzisztor kap helyet...