Paket NPM yang populer ‘Is’ telah dikompromikan dalam serangan rantai pasokan yang menyuntikkan malware backdoor, memberikan penyerang akses penuh ke perangkat yang dikompromikan.
Ini terjadi setelah akun pemelihara dibajak melalui phishing, diikuti oleh perubahan pemilik yang tidak sah yang tidak diperhatikan selama beberapa jam, berpotensi mengkompromikan banyak pengembang yang mengunduh rilis baru.
Paket ‘IS’ adalah perpustakaan utilitas JavaScript ringan yang menyediakan berbagai jenis fungsi validasi pemeriksaan dan nilai.
Perangkat lunak ini memiliki lebih dari 2,8 juta unduhan mingguan pada indeks paket NPM. Ini digunakan secara luas sebagai ketergantungan utilitas tingkat rendah dalam alat pengembangan, pengujian pustaka, sistem pembangunan, dan proyek backend dan CLI.
Pada 19 Juli 2025, pengelola utama paket, John Harband, mengumumkan bahwa versi 3.3.1 hingga 5.0.0 berisi malware dan dihapus sekitar 6 jam setelah aktor ancaman menyerahkannya ke NPM.
Ini adalah hasil dari hal yang sama Serangan Rantai Pasokan NPM yang menggunakan domain palsu ‘npnjs[.]com ‘untuk merebut kredensial pemeliharaan dan kemudian menerbitkan versi paket populer yang terikat.
Selain itu, ‘adalah paket -paket berikut dikonfirmasi untuk mendorong malware, dikompromikan dalam serangan yang sama:
- Eslint-Config-Prettier (8.10.1, 9.1.1, 10.1.6, 10.1.7)
- Eslint-plugin-prettier (4.2.2, 4.2.3)
- Synckkit (0.11.9)
- @pkgr/core (0.2.8)
- napi-postinstall (0.3.1)
- Got-Fetch (5.1.11, 5.1.12)
Socket melaporkan bahwa ‘IS’ berisi loader malware JavaScript lintas platform yang membuka backdoor berbasis WebSocket, memungkinkan eksekusi kode jarak jauh.
“Setelah aktif, ini menanyakan modul OS Node untuk mengumpulkan nama host, sistem operasi, dan detail CPU, dan menangkap semua variabel lingkungan dari Process.env,” menjelaskan soket.
“Kemudian secara dinamis mengimpor pustaka WS untuk mengekspresikan data ini melalui koneksi Websocket.”
“Setiap pesan yang diterima di atas soket diperlakukan sebagai JavaScript yang dapat dieksekusi, memberikan aktor ancaman cangkang jarak jauh interaktif dan interaktif.”
Para peneliti juga menganalisis muatan di ‘Eslint’ dan seluruh paket, menemukan infostealer Windows yang disebut ‘Scavanger’ yang menargetkan informasi sensitif yang disimpan di browser web.
Malware ini menampilkan mekanisme penghindaran seperti syscall tidak langsung, komunikasi perintah dan kontrol terenkripsi (C2), tetapi dapat memicu peringatan keamanan di Chrome karena manipulasi bendera.
Berdasarkan pola serangan, para aktor ancaman mungkin telah mengganggu kredensial pemeliharaan tambahan dan sedang bersiap untuk bereksperimen dengan muatan yang lebih cepat pada paket perangkat lunak baru.
Untuk mencegah hal ini, pengelola harus mengatur ulang kata sandi mereka dan segera memutar semua token, dan pengembang hanya boleh menggunakan versi yang diketahui dari sebelum 18 Juli 2025.
Pembaruan otomatis harus dimatikan, sementara Lockfile dapat digunakan untuk membekukan rilis pada versi ketergantungan tertentu.
Dewan Dewan Dek Dek Cisos benar -benar digunakan
Cisos tahu bahwa mendapatkan buy-in dewan dimulai dengan pandangan yang jelas dan strategis tentang bagaimana keamanan cloud mendorong nilai bisnis.
Dek laporan dewan gratis yang dapat diedit ini membantu para pemimpin keamanan menghadirkan risiko, dampak, dan prioritas dalam hal bisnis yang jelas. Ubah pembaruan keamanan menjadi percakapan yang bermakna dan pengambilan keputusan yang lebih cepat di ruang dewan.
