Paket npm berbahaya mencuri kredensial pengembang di berbagai platform

Pada 4 Juli 2025, aktor ancaman mengunggah sepuluh paket berbahaya ke registry npm, menggunakan typosquatting untuk berpura-pura menjadi perangkat lunak sah seperti TypeScript, discord.js, ethers.js, nodemon, react-router-dom, dan zustand. Paket-paket tersebut—typescriptjs, deezcord.js, dizcordjs, dezcord.js, etherdjs, ethesjs, ethetsjs, nodemonjs, react-router-dom.js, dan zustand.js—menipu pengembang untuk menginstalnya dengan muncul di hasil pencarian untuk nama asli.

Setelah instalasi, skrip postinstall diaktifkan, memunculkan terminal tersembunyi yang menjalankan 'app.js' dan membersihkan jendela untuk menghindari perhatian. Pemuat ini menggunakan empat lapisan ofusaksi: pembungkus eval dekode diri, dekripsi XOR dengan kunci dinamis, muatan terkode URL, dan ofusaksi alur kontrol yang berat. Ia menampilkan CAPTCHA ASCII palsu di terminal untuk tampak sah, kemudian mengirim geolokasi korban dan sidik jari sistem ke server command-and-control.

Malware selanjutnya mengunduh binari infostealer berukuran 24MB yang dikemas dengan PyInstaller yang disesuaikan dengan OS host. Alat ini mengekstrak kredensial dari keyring sistem, termasuk Windows Credential Manager, macOS Keychain, dan opsi Linux seperti SecretService, libsecret, dan KWallet. Ia juga menargetkan browser berbasis Chromium dan Firefox untuk profil, kata sandi tersimpan, dan cookie sesi, bersama dengan kunci SSH di direktori umum dan token seperti OAuth, JWT, dan kunci API.

Data yang dicuri dikompresi menjadi arsip dan disiapkan di /var/tmp atau /usr/tmp sebelum diekstrak ke server penyerang di 195.133.79.43. Meskipun Socket melaporkan ke npm, paket-paket tersebut masih tersedia hingga akhir Oktober 2025. Para ahli mendesak pengembang yang terkena dampak untuk menghapus paket-paket tersebut, memutar ulang semua kredensial, dan memverifikasi sumber dari penerbit terkemuka untuk mencegah kompromi.