Maliciösa npm-paket stjäl utvecklaruppgifter på flera plattformar

Den 4 juli 2025 laddade hotaktörer upp tio skadliga paket till npm-registret, med användning av typosquatting för att efterlikna legitim mjukvara som TypeScript, discord.js, ethers.js, nodemon, react-router-dom och zustand. Paketen—typescriptjs, deezcord.js, dizcordjs, dezcord.js, etherdjs, ethesjs, ethetsjs, nodemonjs, react-router-dom.js och zustand.js—lurade utvecklare att installera dem genom att dyka upp i sökresultat för de verkliga namnen.

Vid installation aktiveras ett postinstall-skript som skapar en dold terminal som kör 'app.js' och rensar fönstret för att undvika uppmärksamhet. Denna laddare använder fyra lager av ofuskering: en självdekoderande eval-omslagsdel, XOR-avkodning med en dynamisk nyckel, URL-kodad last och tung kontrollflödesofuskering. Den visar en falsk ASCII CAPTCHA i terminalen för att verka legitim, och skickar sedan offrets geolokalisering och systemavtryck till en kommando- och kontrollserver.

Malware laddar därefter ner en 24 MB PyInstaller-packad infostealer-binär som är anpassad till värd-OS:et. Detta verktyg extraherar uppgifter från systemnyckelringar, inklusive Windows Credential Manager, macOS Keychain och Linux-alternativ som SecretService, libsecret och KWallet. Det riktar sig också mot Chromium-baserade och Firefox-webbläsare för profiler, sparade lösenord och sessionskakor, tillsammans med SSH-nycklar i vanliga kataloger och tokens som OAuth, JWT och API-nycklar.

Stulna data komprimeras till arkiv och placeras i /var/tmp eller /usr/tmp innan exfiltrering till angriparens server på 195.133.79.43. Trots Sockets rapport till npm var paketen fortfarande tillgängliga i slutet av oktober 2025. Experter uppmanar drabbade utvecklare att ta bort paketen, rotera alla uppgifter och verifiera källor från pålitliga utgivare för att förhindra kompromettering.