Masívna infekcia softvérových balíkov NPM

Národné centrum kybernetickej bezpečnosti upozorňuje na kompromitované NPM balíky, ktoré obsahujú škodlivý kód. Jedná sa o viacero balíkov s celkovým počtom až 2.6 miliardy stiahnutí týždenne. To ohrozuje obrovské množstvo ďalších produktov, ktoré tieto balíky využívajú.

Bezpečnostní výskumníci spoločnosti Aikido identifikovali kompromitáciu osemnástich softérových balíkov, úhrnom s vyše 2 miliardami týždenných stiahnutí. Tieto balíky sa ďalej používajú ako komponenty v softvéri a webových stránkach od komerčných riešení po open-source. Celkový počet zasiahnutých aplikácií preto nie je možné odhadnúť.

Škodlivý softvér umožňuje krádež kryptomien a potenciálne ďalšie škodlivé aktivity.

Zoznam kompromitovaných balíkov:

• backslash (0.26m stiahnutí týždenne)
• chalk-template (3.9m stiahnutí týždenne)
• supports-hyperlinks (19.2m stiahnutí týždenne)
• has-ansi (12.1m stiahnutí týždenne)
• simple-swizzle (26.26m stiahnutí týždenne)
• color-string (27.48m stiahnutí týždenne)
• error-ex (47.17m stiahnutí týždenne)
• color-name (191.71m stiahnutí týždenne)
• is-arrayish (73.8m stiahnutí týždenne)
• slice-ansi (59.8m stiahnutí týždenne)
• color-convert (193.5m stiahnutí týždenne)
• wrap-ansi (197.99m stiahnutí týždenne)
• ansi-regex (243.64m stiahnutí týždenne)
• supports-color (287.1m stiahnutí týždenne)
• strip-ansi (261.17m stiahnutí týždenne)
• chalk (299.99m stiahnutí týždenne)
• debug (357.6m stiahnutí týždenne)
• ansi-styles (371.41m stiahnutí týždenne)
• proto-tinker-wc – iný správca ako predchádzajúce balíky

Ku incidentu došlo, keď legitímny správca osemnástich balíkov podľahol phishingovému útoku dňa 8.9.2025. Staršie verzie balíkov nie sú postihnuté. Kompromitovaných účtov však je viacero, priebežne bol odhalený už druhý, tentoraz len s jedným kompromitovaným balíkom.

Útočníci v phishingovom e-maili žiadali o zavedenie dvojfaktorovej autentifikácie a pocit časovej tiesne navodili tvrdením, že bez aktivácie dvojfaktorovej autentifikácie nebude možný prístup k správe balíkov.

Odporúčania pre autorov softvéru – priamo v súvislosti s incidentom

• uistite sa, že váš softvér nevyužíva kompromitované verzie menovaných balíkov ako priamu či nepriamu závislosť. Zoznam všetkých nainštalovaných balíkov je možné zobraziť príkazom 

  npm list -g --depth=0

• v prípade, že kompromitované balíky využívate,
  • nezabudnite vyčistiť NPM cache a reinštalovať všetky balíky
  • vydajte urýchlene bezpečnostnú záplatu, založenú na bezpečných verziách, a varovanie pre používateľov vášho softvéru.
• uistite sa, že používate súbor package-lock.json a pinované verzie balíkov

Odporúčania pre prevádzkovateľov základnej služby

• informujte svojich subdodávateľov o tomto incidente a preverte, či začlenili kompromitované knižnice do svojich produktov

Ďalšie odporúčania

• pozorne preverujte každú požiadavku a nezadávajte prihlasovacie mená a heslá bez uistenia, že sa jedná o legitímny dopyt
• vzdelávajte sa alebo vytvorte program vzdelávania o phishingu
• ako správcovia balíkov si buďte vedomí svojej zodpovednosti a dôsledne zvažujte, komu zveríte prístup k správe balíkov počas celého životného cyklu týchto balíkov
• takýto problém sa netýka len balíkov NPM, ale existuje v balíčkovacích prostrediach prakticky všetkých dnešných programovacích jazykov. Vývojári by si mali byť vedomí tejto kategórie útokov a pozorne vyberať, ktoré balíky využijú.

Zdroje

• https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
• https://www.bleepingcomputer.com/news/security/hackers-hijack-npm-packages-with-2-billion-weekly-downloads-in-supply-chain-attack/

« Späť na zoznam