Grootschalige supply chain-aanval raakt meer dan 40 populaire npm-pakketten

De aanval bleef lange tijd onder de radar doordat de cybercriminelen gebruikmaakten van legitieme hulpmiddelen die op GitHub worden gehost. Deze tactiek, waarbij vertrouwde platforms en tools worden misbruikt, is een groeiende trend bij supply chain-aanvallen. Het doel is vaak het stelen van gevoelige data, zoals inloggegevens en tokens, rechtstreeks vanuit ontwikkelomgevingen.

Geautomatiseerd proces injecteert kwaadaardige code 

De aanvallers gebruikten de functie NpmModule.updatePackage om ongemerkt een tarball package te downloaden. Vervolgens wijzigden ze het package.json-bestand en injecteerden een payload, genaamd bundle.js. Deze payload doorzocht de systemen van slachtoffers naar tokens en cloud-credentials met behulp van de legitieme scanningtool TruffleHog. Het gemanipuleerde pakket werd daarna opnieuw verpakt en gepubliceerd in het npm-archief.

Deze aanval volgt kort op een vergelijkbaar incident in september 2025, waarbij andere npm-pakketten met miljarden wekelijkse downloads kwaadaardige code uitvoerden. Volgens CyberArk Labs benadrukt dit de groeiende frequentie en impact van dergelijke aanvallen op de open-source supply chain.

Advies aan securityteams 

Amir Landau, Team Leader Malware Research bij CyberArk Labs, waarschuwt voor de versnellende trend van dit soort aanvallen: “De opkomst van nieuwe codingtools die ongeteste pakketten direct uitrollen, vergroot dit risico. Het is cruciaal om testomgevingen strikt te scheiden van productie- en ontwikkelomgevingen.”

CyberArk Labs roept securityteams op om onmiddellijk actie te ondernemen:

• Roeren en vernieuwen: Roteer tokens en secrets regelmatig.
• Controleer en isoleer: Test nieuwe en geüpdatete pakketten altijd eerst in afgesloten omgevingen.
• Lokale opslag vermijden: Sla geen gevoelige tokens of sleutels lokaal op.
• Blijf alert: Vertrouw niet blindelings op tools en services die code zonder menselijke validatie aanleveren.