Illustration of a developer's desk with a computer screen showing malicious npm packages stealing credentials across platforms, highlighting cybersecurity risks.
Illustration of a developer's desk with a computer screen showing malicious npm packages stealing credentials across platforms, highlighting cybersecurity risks.
Bild genererad av AI

Maliciösa npm-paket stjäl utvecklaruppgifter på flera plattformar

Bild genererad av AI

Tio npm-paket med avsiktliga stavfel, uppladdade den 4 juli 2025, har upptäckts ladda ner en infostealer som riktar sig mot känslig data på Windows-, Linux- och macOS-system. Dessa paket, som efterliknar populära bibliotek, undvek upptäckt genom flera lager av ofuskering och samlade nästan 10 000 nedladdningar. Cybersäkerhetsföretaget Socket rapporterade hotet och noterade att paketen fortfarande är tillgängliga i registret.

Den 4 juli 2025 laddade hotaktörer upp tio skadliga paket till npm-registret, med användning av typosquatting för att efterlikna legitim mjukvara som TypeScript, discord.js, ethers.js, nodemon, react-router-dom och zustand. Paketen—typescriptjs, deezcord.js, dizcordjs, dezcord.js, etherdjs, ethesjs, ethetsjs, nodemonjs, react-router-dom.js och zustand.js—lurade utvecklare att installera dem genom att dyka upp i sökresultat för de verkliga namnen.

Vid installation aktiveras ett postinstall-skript som skapar en dold terminal som kör 'app.js' och rensar fönstret för att undvika uppmärksamhet. Denna laddare använder fyra lager av ofuskering: en självdekoderande eval-omslagsdel, XOR-avkodning med en dynamisk nyckel, URL-kodad last och tung kontrollflödesofuskering. Den visar en falsk ASCII CAPTCHA i terminalen för att verka legitim, och skickar sedan offrets geolokalisering och systemavtryck till en kommando- och kontrollserver.

Malware laddar därefter ner en 24 MB PyInstaller-packad infostealer-binär som är anpassad till värd-OS:et. Detta verktyg extraherar uppgifter från systemnyckelringar, inklusive Windows Credential Manager, macOS Keychain och Linux-alternativ som SecretService, libsecret och KWallet. Det riktar sig också mot Chromium-baserade och Firefox-webbläsare för profiler, sparade lösenord och sessionskakor, tillsammans med SSH-nycklar i vanliga kataloger och tokens som OAuth, JWT och API-nycklar.

Stulna data komprimeras till arkiv och placeras i /var/tmp eller /usr/tmp innan exfiltrering till angriparens server på 195.133.79.43. Trots Sockets rapport till npm var paketen fortfarande tillgängliga i slutet av oktober 2025. Experter uppmanar drabbade utvecklare att ta bort paketen, rotera alla uppgifter och verifiera källor från pålitliga utgivare för att förhindra kompromettering.

Relaterade artiklar

Seventy-three Microsoft open source packages were compromised late last week with malware that steals credentials from cloud services and developer tools. The malicious code activates when opened in AI coding agents.

Rapporterad av AI

Developer platform Socket has identified a malware known as TrapDoor that is targeting crypto and AI developers.

A ransomware group known as ShinyHunters exploited a critical zero-day flaw in Oracle’s PeopleSoft software to target about 100 organizations. The attackers stole gigabytes of data from victims, including the University of Nottingham, and issued extortion demands. Oracle has released a mitigation but not a full patch.

Rapporterad av AI

Google published proof-of-concept exploit code on Wednesday for a vulnerability in its Chromium browser that has gone unfixed for 29 months. The flaw affects Chrome, Microsoft Edge, and other Chromium-based browsers used by millions worldwide. It enables attackers to establish persistent connections for monitoring user activity and launching attacks.

Denna webbplats använder cookies

Vi använder cookies för analys för att förbättra vår webbplats. Läs vår integritetspolicy för mer information.
Avböj