Az npm-et elárasztja a PhantomRaven: fejlesztők veszélyben

Egyre intenzívebb támadássorozat fenyegeti a JavaScript-fejlesztőket: a PhantomRaven néven futó kampány során 126 rosszindulatú npm-csomagot telepítettek, amelyek célja a fejlesztői hitelesítő adatok, CI/CD-titkok és GitHub-azonosítók ellopása. Ezeket a csomagokat augusztus óta már több mint 86 ezren töltötték le. Az npm a Node.js alapértelmezett csomagkezelője, amely kulcsszerepet játszik a fejlesztői munkában.

Hamis csomagok az MI árnyékában

A PhantomRaven-támadás során több csomag is látszólag megbízható projekteket utánoz: GitLab- vagy Apache-eszközöknek adják ki magukat. Sok ilyen csomag mesterségesintelligencia-generált ajánlások miatt jött létre, amikor a fejlesztők AI-asszisztenst kérdeztek csomagtippekről, az MI pedig nem létező, de hihető csomagneveket javasolt. Ezek közül számos csomag jelenleg is elérhető az npm-en.

Láthatatlan támadási módszerek

Az új támadási hullám innovatív megoldásokat használ: a csomagok telepítéskor semmilyen hivatalos függőséget nem mutatnak, de automatikusan külső oldalakról töltik le és futtatják a rosszindulatú kódot. Ez a módszer lehetővé teszi, hogy a támadók könnyen kijátsszák a statikus elemzéseket. A rosszindulatú kód felméri az áldozat gépét, levadássza a környezeti változókban tárolt e-mail-címeket, és megszerzi az npm-, GitHub Actions-, GitLab-, Jenkins-, valamint CircleCI-tokeneket, amelyekkel további fertőzéseket és támadásokat indíthatnak.

Ne dőlj be az MI-nek!

A PhantomRaven irányítói profi adatlopó módszereket használnak: HTTP GET és POST kérésekben, valamint WebSocket-kapcsolatokon keresztül szivárogtatják ki az információkat. A Koi Security szerint a fejlesztők csak megbízható forrásból származó, ellenőrizhető csomagokat telepítsenek, és soha ne fogadják el gondolkodás nélkül az MI által ajánlott csomagokat. Az elemzés teljes listát adott a veszélyes csomagokról és a kompromittált infrastruktúráról.

2025, adrienne, www.bleepingcomputer.com alapján