Malicious npm packages harvest crypto keys and secrets

Svenska

Nineteen malicious packages on the npm registry are spreading a worm known as SANDWORM_MODE. These packages steal crypto keys, CI secrets, API tokens, and AI API keys. The theft occurs through MCP injection.

Security researchers have identified 19 malicious npm packages that are actively harvesting sensitive information from developers' systems. According to reports, these packages propagate a worm called SANDWORM_MODE, which targets crypto keys, continuous integration (CI) secrets, API tokens, and AI API keys.

The malicious software employs MCP injection as its primary method to extract and exfiltrate this data. npm, the popular package manager for JavaScript and Node.js, serves as the distribution platform for these threats, potentially compromising developers who install the affected packages unknowingly.

This incident highlights ongoing risks in open-source software ecosystems, where supply chain attacks can lead to widespread data breaches. No specific details on the exact names of the 19 packages or the total number of affected users were provided in the available information.

Developers are advised to review their dependencies and use tools to scan for vulnerabilities in npm packages to mitigate such risks.

Relaterade artiklar

Illustration of a developer's desk with a computer screen showing malicious npm packages stealing credentials across platforms, highlighting cybersecurity risks.
Bild genererad av AI

Maliciösa npm-paket stjäl utvecklaruppgifter på flera plattformar

Rapporterad av AI Bild genererad av AI

Tio npm-paket med avsiktliga stavfel, uppladdade den 4 juli 2025, har upptäckts ladda ner en infostealer som riktar sig mot känslig data på Windows-, Linux- och macOS-system. Dessa paket, som efterliknar populära bibliotek, undvek upptäckt genom flera lager av ofuskering och samlade nästan 10 000 nedladdningar. Cybersäkerhetsföretaget Socket rapporterade hotet och noterade att paketen fortfarande är tillgängliga i registret.

React2Shell-utnyttjanden fortsätter med storskaliga Linux-bakdörrsimplantationer och stöld av molnuppgifter

Det pågående utnyttjandet av React2Shell-sårbarheten (CVE-2025-55182)—tidigare beskrivet i rapportering om China-nexus- och cyberbrottskampanjer—innefattar nu utbredda Linux-bakdörrsinstallationer, godtycklig kommandokörning och storskalig stöld av molnuppgifter.

Angripare kapar Linux Snap Store-appar för att stjäla kryptovalutafraser

Rapporterad av AI

Cyberbrottslingar har komprometterat betrodda Linux-applikationer på Snap Store genom att ta över utgångna domäner, vilket låter dem distribuera skadlig kod som stjäl kryptovalutagenereringsfraser. Säkerhetsexperter från SlowMist och Ubuntu-bidragsgivare Alan Pope belyste attacken, som riktar sig mot etablerade utgivarKonton för att sprida skadliga uppdateringar som utger sig för populära plånböcker. Canonical har tagit bort de påverkade snapparna, men krav på starkare skyddsåtgärder kvarstår.

Linux

React2Shell-brist utnyttjas för PeerBlight-malware på Linux

Linux

Forskare upptäcker SSHStalker-botnätverk som infekterar Linux-servrar

Teknik

Ryska hackare utnyttjar Microsoft Office-sårbarhet dagar efter patchen

Ny SysUpdate-malwarevariant riktar in sig på Linux-system

En ny variant av SysUpdate-malware har upptäckts som riktar sig mot Linux-system, med avancerad kryptering för kommando- och kontrollkommunikation. Säkerhetsforskare på LevelBlue identifierade hotet under ett digitalt forensiskt uppdrag och utvecklade ett verktyg för att dekryptera dess trafik. Malware utger sig för att vara en legitim systemservice för att undvika detektering.

Nordkoreanska hackare utnyttjar React2Shell-sårbarhet med högsta allvarlighetsgrad

Rapporterad av AI

Nordkoreanska hackare har börjat utnyttja en kritisk sårbarhet känd som React2Shell i malwareattacker. Detta följer liknande åtgärder av kinesiska hackare och indikerar ett växande intresse för denna säkerhetshål. Problemet utgör betydande risker för drabbade system.

Luca stealer baserad på Rust riktar in sig på Linux- och Windows-system

Hotaktörer övergår från traditionella språk som C och C++ till moderna som Rust, vilket möjliggör utveckling av plattformsövergripande skadlig kod. En ny Rust-baserad informationsstjälare vid namn Luca har dykt upp, släppt öppet till allmänheten. Denna utveckling belyser den växande användningen av Rust i skadlig kod och skapar nya utmaningar för cybersäkerhetsförsvarare.

Falska Chrome AI-tillägg riktade sig mot över 300 000 användare

Rapporterad av AI

Brottslingar har distribuerat falska AI-tillägg i Google Chrome Web Store för att rikta sig mot över 300 000 användare. Dessa verktyg syftar till att stjäla e-post, personuppgifter och annan information. Frågan belyser pågående försök att sprida övervakningsprogramvara via legitima kanaler.

19 februari 2026 13:36

Forskare upptäcker ny SysUpdate-malwarevariant som riktar sig mot Linux

10 februari 2026 19:39

Ny Linux-botnet SSHStalker använder IRC för kommando- och kontroll

5 februari 2026 15:05

Kritiska brister upptäckta i n8n-arbetsflödesverktyg

27 januari 2026 06:48

Zombie-domäner utsätter Snap Store för försörjningskedjeattacker

24 januari 2026 21:25

Wiper-malware riktar in sig på Polens energinät men orsakar ingen strömavbrott

22 januari 2026 03:56

Maliciös PyPI-paket utger sig för att vara SymPy för att distribuera XMRig-gruvarbeidare

21 januari 2026 09:23

Anthropics Git MCP-server avslöjar säkerhetsbrister

13 december 2025 23:54

Kina-nexusgrupper och cyberkriminella ökar React2Shell-utnyttjande

5 november 2025 22:25

Ryska hackare använder Linux-VM:ar för att dölja skadlig kod på Windows

27 oktober 2025 10:24

Qilin ransomware distribuerar Linux-binärer mot Windows-system

 

 

 

Denna webbplats använder cookies

Vi använder cookies för analys för att förbättra vår webbplats. Läs vår integritetspolicy för mer information.
Avböj