Refu Blog

Cel mai mare atac npm: 18 pachete compromise (2025)

*Blog By 5 Mins Read
Cel mai mare atac npm 18 pachete compromise (2025)

Un atacator a preluat contul unui maintainer cunoscut și a injectat un malware tip “crypto-clipper” în 18 pachete JavaScript extrem de populare, expunând un lanț vast de dependențe la furt de fonduri în criptomonede.

Fereastra de expunere a fost de circa 2,5 ore, dar magnitudinea pachetelor compromise face ca incidentul să fie considerat cel mai mare atac npm de până acum, cu implicații majore pentru securitatea supply chain în open-source.

Context

Incidentul a avut loc pe 8 septembrie 2025, când un atac de tip phishing a vizat un maintainer cu reputație în comunitatea JS, după ce i-a fost indusă resetarea 2FA printr-un email extrem de convingător.

Actorul a publicat versiuni modificate ale unor librării cheie, ajungând rapid în browsere și aplicații prin ecosistemul masiv de dependențe npm. Dimensiunea și reputația pachetelor au amplificat riscul, chiar dacă răspunsul industriei a venit relativ repede.

Cum s-a produs

Vectorul inițial a fost phishing-ul, folosind un domeniu ce imita suportul npm, cu obiectivul de a captura credențiale și a ocoli protecții 2FA.

Odată compromis contul, atacatorul a publicat versiuni noi “minore” sau “patch” pentru a evita suspiciunile dezvoltatorilor și ale CI-urilor. Publicarea coordonată a mai multor pachete a creat un efect de domino în lanțul de build și distribuție.

Cum funcționează malware-ul

Codul malițios interceptează în browser apeluri la API-urile fetch și XMLHttpRequest, precum și interfețe web3 precum window.ethereum, pentru a manipula tranzacțiile.

În momentul semnării, adresele portofelelor sunt înlocuite invizibil cu adrese controlate de atacator, imitând vizual adrese valide pentru a evita detecția. Ținta include rețele multiple (de ex. Bitcoin, Ethereum, Solana, Tron, Litecoin, Bitcoin Cash), crescând șansa de monetizare.

Pachete afectate

Printre cele mai afectate se numără utilitare de bază cum ar fi chalk, debug, ansi-styles, supports-color, strip-ansi, ansi-regex, wrap-ansi, color-convert și color-name.

Acestea sunt adânc încorporate în toolchain-uri, CLI-uri, UI-uri și framework-uri, ceea ce a permis răspândirea rapidă.

Descărcările agregate săptămânale ale acestor pachete trec de miliarde, sporind considerabil aria potențial afectată.

Impact și scală

Efectul real depinde de câte build-uri au tras versiunile compromise și de câți utilizatori finali au încărcat codul în browser.

Chiar și cu o fereastră scurtă de timp, volumul CI/CD și auto-update-urilor în ecosistem poate livra un număr semnificativ de deploy-uri.

Pentru aplicațiile care procesează plăți sau conectează portofele, riscul direct de pierdere financiară este imediat.

Cronologie

  • Compromiterea contului maintainer-ului și publicarea primelor versiuni malițioase pe 8 septembrie 2025.
  • Detectarea rapidă de către o firmă de securitate la câteva minute după publicare.
  • Dezvăluire publică în circa o oră și reacție accelerată a comunității.
  • Fereastră de expunere estimată la aproximativ 2,5 ore până la începerea eliminării masive a versiunilor compromise.

Mecanisme tehnice observate

  • Hook-uri pe fetch/XMLHttpRequest pentru a intercepta payload-urile tranzacțiilor.
  • Interfațare cu obiecte wallet din browser și API-uri web3 pentru a prinde momentul semnării.
  • Înlocuirea adreselor cu variante “lookalike” pentru a trece neobservate de ochiul uman.
  • Obfuscare moderată pentru a evita detecția statică și a complica trierea incidentului.

De ce a contat atât de mult

  • Pachetele sunt “lego bricks” ale ecosistemului JS, prezente în proiecte enterprise, startup-uri și tool-uri dev.
  • Integrarea ca dependențe indirecte înseamnă că multe echipe nici nu știau că le folosesc.
  • Atacul a vizat punctul cel mai vulnerabil: încrederea implicită în maintaineri și în update-urile minore/patch.

Lecții pentru securitatea supply chain

  • Încrederea în maintaineri nu poate substitui controalele de integritate la nivel de pipeline și runtime.
  • Update-urile automate fără garduri de protecție cresc suprafața de atac la scară.
  • Telemetria și alertele asupra anomaliilor în dependențe sunt esențiale pentru time-to-detect mic.

Ce să faci acum (ghid practic)

  • Blochează versiunile compromise în lockfile și regenerează dependențele cu verificare strictă de integritate (checksums/SRI).
  • Rulare scanări SCA/antimalware pe artefacte, bundle-uri și CDN, inclusiv în cache-urile CI.
  • Auditează toate release-urile între 8–9 septembrie 2025 ale pachetelor listate ca afectate.
  • Dacă aplicația procesează cripto, avertizează utilizatorii și verifică tranzacțiile semnate în intervalul incidentului.
  • Rotește cheile/tokens în CI/CD, invalidează sesiunile și regenerează secret management-ul.
  • Activează monitorizare la runtime pentru interceptări pe window.ethereum și mutații ale obiectelor XHR/fetch.
  • Adaugă Content Security Policy și subresource integrity pentru resursele third-party încărcate în browser.

Măsuri strategice pe termen mediu

  • Folosește provenance și semnături pentru pachete (sigstore/cosoftware) și verificare în pipeline.
  • Restricționează “wildcard” la dependențe: preferă pinning cu intervale stricte și aprobări manuale.
  • Introdu “quarantine” pentru versiuni noi: testare canary, sandboxing și delay de adoptare.
  • Aplică principle of least privilege la tokenurile maintainerilor, cu rotație și scurtă durată de viață.
  • Implementează SLSA/SBOM pentru vizibilitate și trasabilitate în lanțul de build.

Implicații pentru ecosistem

Evenimentul arată că mecanismele sociale (phishing, resetări 2FA) rămân “cai troieni” eficienți chiar în comunități mature. Standardele de semnare, atestare și provenance trebuie să devină implicite în registri, build-uri și runtime.

Educația continuă pentru maintaineri și publisheri e la fel de critică precum tehnologia.

Rolul platformelor și registrilor

Registrii trebuie să întărească fluxurile de recuperare/2FA, detecția domeniilor lookalike și alertele pentru publicații anormale. Platformele pot oferi “hold & review” automat pentru librării cu impact sistemic sau schimbări suspecte.

Integrarea nativă a verificării semnăturilor și a SBOM-urilor la instalare ar reduce dramatic riscul.

Perspective legale și de conformitate

Organizațiile care procesează plăți pot necesita raportări interne/extern pentru incidente care pot afecta clienții. Politicile de gestionare a terților și due diligence-ul asupra dependențelor software devin cerințe de conformitate, nu doar “best practice”.

Comunicarea transparentă și timpurie e esențială pentru reducerea prejudiciilor.

Atacul confirmă că cele mai mici piese din ecosistem, când sunt omniprezente, devin vectori cu impact uriaș.

Investiția în controale preventive, verificări criptografice, procese de aprobare și monitorizare runtime este singura cale realistă pentru a reduce riscul structural al lanțului de aprovizionare software.

Comunitatea trebuie să standardizeze rapid provenance și semnături, iar echipele să introducă “fricțiune sănătoasă” în actualizări.

https://www.aikido.dev/blog/popular-nx-packages-compromised-on-npm

refuonline
Author

Pasionat de tehnologie și internet din 1996, blogger din 2008, fotograf și videograf entuziast. Expert în crearea de website-uri, SEO și strategii digitale pentru startup-uri. Fondator al agenției DIGITAL INBOUND, ajutând afacerile să crească online.

Related Posts

Write A Comment