Alarm: Besmette software-libraries in omloop
Softwareontwikkelaars in Nederland en daarbuiten worden door NCSC dringend gewaarschuwd voor een reeks geraffineerde 'supplychain-aanvallen'. Door legitieme softwarepakketten (packages) te infecteren met malware, proberen cybercriminelen toegang te krijgen tot de interne IT-omgevingen van organisaties en gevoelige gegevens te stelen.
De afgelopen dagen is een alarmerende toename gezien in het aantal gecompromitteerde packages binnen npm (Node.js) en PyPI (Python). Het Nationaal Cyber Security Centrum (NCSC) adviseert organisaties die eigen software ontwikkelen om onmiddellijk hun systemen te controleren.
De kettingreactie: Van Trivy naar CanisterWorm
De aanvalsgolf begon rond 19 maart, toen kwaadwillenden toegang kregen tot de ontwikkelomgeving van Trivy, een veelgebruikte beveiligingsscanner. Er werd een malafide versie (0.69.4) verspreid die niet beveiligde, maar juist 'backdoors' plaatste en authenticatiegegevens buitmaakte.
Met deze gestolen gegevens werd de zogenaamde CanisterWorm-malware geactiveerd. Deze malware gedraagt zich als een digitale parasiet: hij steelt tokens uit de omgeving van een ontwikkelaar en gebruikt die vervolgens om weer ándere packages te infecteren. Volgens beveiligingsbedrijf Aikido zijn op deze manier al minstens 47 andere npm-packages besmet, evenals populaire Python-libraries zoals LiteLLM en Telnyx.
Ook populaire library 'axios' geraakt
Los van de Trivy-aanval bleek op 30 maart dat ook axios is gecompromitteerd. Axios is een van de meest gedownloade libraries ter wereld voor het afhandelen van HTTP-verkeer. Aanvallers hebben malware toegevoegd aan versies 1.14.1 en 0.30.4, die vervolgens via automatische updates bij duizenden bedrijven zijn binnengevallen.
Het risico: Spionage en afpersing
Wanneer een ontwikkelaar een besmet pakket downloadt, krijgen de aanvallers direct toegang tot de 'credentials' (inloggegevens en tokens) van de organisatie. Hiermee kunnen ze dieper het netwerk binnendringen of gevoelige klantdata exfiltreren. Het NCSC waarschuwt dat deze data vaak wordt gebruikt voor afpersing: criminelen dreigen de data openbaar te maken als er geen losgeld wordt betaald.
Wat moeten ontwikkelaars doen?
Het is cruciaal om niet blindelings te vertrouwen op updates van derden. Het NCSC en beveiligingsexperts raden de volgende stappen aan:
- Check je versies: Gebruik je Trivy 0.69.4 of axios 1.14.1/0.30.4? Ga direct over naar een veilige versie en start een incidentonderzoek.
- Roteer geheimen: Als er een besmet pakket is gevonden, moeten álle API-tokens, wachtwoorden en certificaten die in die omgeving aanwezig waren, worden vervangen.
- Hanteer een 'Cool-down': Voer beveiligingsupdates direct uit, maar wacht met reguliere functie-updates een paar dagen totdat de community de kans heeft gehad deze te controleren.
- Gebruik Hashing: Gebruik 'version pinning' waarbij je niet alleen het versienummer vastzet, maar ook de unieke hash (vingerafdruk) van het pakket controleert.
- Beperk scripts: Schakel 'postinstall-scripts' uit bij het installeren van packages (bijvoorbeeld via
npm ci --ignore-scripts).
De huidige aanvalsgolf herinnert de sector eraan dat de grootste dreiging soms van binnenuit komt, via de bouwstenen die we dagelijks gebruiken om onze digitale wereld op te bouwen.
Meer over cybercrime
Over Witold Kepinski
