Vier nieuwe npm-pakketten blijken kwaadaardige software te bevatten die info steelt.Eén van die pakketten is een kopie van de shai-Hulud-worm, die door TeamPCP open is gezet. De pakketten zijn:
chalk-tempalte
,
@deadcode09284814/axios-util
,
axois-utils
en
color-style-utils
.
npm is de grote pakketlijst voor JavaScript. Ontwikkelaars gebruiken die pakketten om snel code toe te voegen aan hun projecten.Als zo’n pakket stiekem fout is,kan het dus mee komen in software die later op laptops,pc’s of webapps draait.
De onderzoekers noemen vier pakketten met inlogdiefstal in zich. Dat betekent dat de software is gemaakt om gegevens te pakken die niet van de maker zijn. Denk aan dingen zoals accountgegevens of andere gevoelige info die in ontwikkelomgevingen rondzwerft.
voor de pakketten zijn deze downloadtellingen genoemd:
chalk-tempalte– 825 downloads@deadcode09284814/axios-util– 284 downloadsaxois-utils– 963 downloadscolor-style-utils– 934 downloads
Wat maakt dit anders?
Opvallend is vooral dat één pakket een clone is van de Shai-Hulud-worm. Een clone is een kopie. Dat maakt het lastiger, want zo’n pakket kan lijken op iets bekends of onschuldigs, terwijl er juist malware in zit.
De andere pakketten horen ook bij dezelfde groep van malafide npm-pakketten. Ze zijn niet bedoeld om iets nuttigs te doen voor de gebruiker. Ze zijn bedoeld om info weg te halen.
| Onderdeel | Wat is gemeld | Wat betekent het voor jou? |
|---|---|---|
| npm-pakketten | 4 nieuwe pakketten met malware | Kan in software terechtkomen die je gebruikt |
| Shai-Hulud-worm | Eén pakket is een clone | Kopie van bekende malware maakt controle lastiger |
| Type dreiging | Info-stealende malware | Gegevens kunnen worden meegenomen zonder dat je het meteen merkt |
Wie loopt risico?
Vooral ontwikkelaars, zzp’ers en kleine teams die npm-pakketten gebruiken. Als jij zelf software bouwt of onderhoudt, kan zo’n pakket in je project belanden. En dan kan de schade verder gaan dan alleen een verkeerd stukje code.
Ook kleine bedrijven lopen risico als een app, intern script of website zulke pakketten gebruikt. de gebruiker merkt daar vaak niet direct iets van. Het probleem zit meestal achter de schermen, waar software en accounts met elkaar praten.
Wat merk jij hiervan?
Voor gewone gebruikers is dit vaak niet zichtbaar. Je laptop geeft niet ineens een groot alarm. Je browser zegt ook niet automatisch dat er iets mis is.
Toch kan het gevolg wel degelijk bij jou uitkomen.Als een ontwikkelaarspakket in een bedrijf gegevens steelt, kunnen accounts, sessies of andere gevoelige gegevens in verkeerde handen vallen. Dat kan later leiden tot rare inlogpogingen, misbruik van accounts of probleemmeldingen bij diensten die je gebruikt.
Voor kleine werkplekken is de kern simpel: als software van buiten komt, kan daar iets tussen zitten dat je niet ziet. Dat is precies waarom pakketnamen die op echte tools lijken, extra lastig zijn. Een tikfout in een naam kan al genoeg zijn om de verkeerde te pakken.
Wat kun je nu doen?
Controleer of je zelf npm-pakketten gebruikt in je werk of website. Zie je één van deze namen in je project, dan is dat reden om extra goed te kijken. Vooral
chalk-tempalte
valt op als naam die op een typefout lijkt.
Vraag ook na of iemand in je team recent packages heeft toegevoegd of geüpdatet. Bij kleine teams gebeurt dat vaak snel en zonder veel check. Juist dan glipt dit soort malware makkelijker mee.
Een korte praktische check:
- kijk of de genoemde pakketnamen in je code of lockfile staan
- let op vreemde of onbekende package-namen
- check of updates uit een gewone, vertrouwde bron komen
- laat twijfelgevallen door iemand anders bevestigen
goed om te onthouden
Dit nieuws gaat niet over een groot lek bij één bedrijf, maar over vier kwaadaardige npm-pakketten. Het probleem zit in de ontwikkelketen. Dus niet in één laptop alleen, maar in software die verder kan worden verspreid.
Voor gebruikers is de les vooral: wees alert op apps, sites en tools die door kleine teams of losse ontwikkelaars worden gebouwd. Daar kunnen pakketfouten sneller binnenkomen. Voor ontwikkelaars geldt: kijk twee keer naar pakketnamen met vreemde spelling of onbekende afzenders.
Als je dit nieuws volgt, is PyPI Packages Deliver ZiChatBot malware via Zulip APIs on Windows en Linux ook nog wel interessant.
Meer lezen
Wil je het oorspronkelijke securitybericht zien? Dat staat op Four Malicious npm Packages Deliver Infostealers and Phantom Bot DDoS Malware.
Bevers gedachte
Soms zit de rommel niet in de browser, maar al een stap eerder in de bouwdoos. Een klein foutje in een pakketnaam kan dan groter uitpakken dan je denkt. En ja, zelfs een bever wil liever geen muurtje bouwen met rotte houtjes.