Az új PhantomRaven az npm-en vadászik: fejlesztők adatait lopja

Csomagok és rejtett függőségek

A rosszindulatú csomagok többsége a Remote Dynamic Dependencies (RDD) módszert veti be, amelyben a package.json metaadataiban megadott külső függőség közvetlenül egy támadói szerverről töltődik le. Így a végrehajtandó kód rejtve marad az elsődleges csomagban, az automatikus ellenőrzések rendszerint nem fogják meg őket. Amint egy fejlesztő lefuttatja az npm install parancsot, máris letöltődik a támadók által elhelyezett rosszindulatú függőség, ami rögtön elindul.

Adatlopás és célkeresztben a fejlesztői fiókok

A letöltött malware rengeteg bizalmas információt gyűjt a kompromittált gépről: e-mail-címek, környezeti változók és konfigurációs állományok (.gitconfig, .npmrc) tartalma mellett kifejezetten a CI/CD-fiókok adatait is célozza, például a GitHub, GitLab, Jenkins vagy CircleCI tokenjeit. Emellett begyűjti a gép azonosításához szükséges adatokat, mint az IP-címet, a gépnevet, az operációs rendszert és a Node.js verzióját.

Elküldött adatok, fejlődő támadók

A lopott adatokat a malware végül egy Amazon-szerveren üzemelő C2-központba továbbítja, tipikusan HTTP GET-kéréssel (de a POST és a WebSocket sem ritkák). Már négy hullámban is észlelték a kampányt; ezek során a támadók rendszeresen cserélgették az npm-fiókokat, e-mail-címeket, metaadatokat, a támadószerverek végpontjait, és naponta akár több új csomagot is publikáltak. A csomagok forráskódja szinte változatlan maradt, mindössze pár sort módosítottak.

Védekezés: csak megbízható forrásból

Bár a támadássorozat nem különösebben kifinomult, az események láncolata itt még nem ért véget. A támadók minimális módosításokkal újra és újra el tudják kerülni az ellenőrző mechanizmusokat. A védekezésben a legfontosabb: csak megbízható kiadóktól származó csomagokat használjanak, és ne másolják gondolkodás nélkül MI-chatbotok vagy kétes források csomagajánlásait.

2025, adrienne, www.bleepingcomputer.com alapján