Wat 'n npm-aanval sê oor die risiko's van oopbronsagteware

Deur Phil Muncaster • 16 Oktober 2025

Die geskiedenis van oopbron-sekuriteit is besaai met voorbeelde van katastrofiese mislukkings en byna-mislukkings. 'n Kripto-wanware-veldtog wat vroeg in September ontdek is, val iewers tussen die twee. Volgens verslae, 'n onbekende bedreigingsakteur het 'n enkele npm-onderhouderrekening gekompromitteer, en met daardie toegang kwaadwillige kode oor pakkette met meer as twee miljard weeklikse aflaaie ontplooi.

Dit is reeds beskryf as die grootste voorsieningsketting-kompromie in die geskiedenis van npm – self die wêreld se grootste sagtewareregister. As dit 'n teken is van dinge wat gaan kom, hoe isoleer korporatiewe gebruikers van oopbron hulself teen toenemende kuberrisiko?

Wat het met npm gebeur?

Op 8 September het ontwikkelaar en oopbron-onderhouder Josh Junon (ook bekend as "qix") sosiale media gebruik om te onthul dat sy npm-rekening gekompromitteer is. Hy het dit uitgevind nadat die rekening begin het om Trojaanse weergawes van gewilde pakkette soos chalk (300 miljoen weeklikse aflaaie), debug (357 miljoen) en ansi-styles (371 miljoen) te plaas.

Die kwaadwillige kode “onderskep stilweg kripto- en web3-aktiwiteit in die blaaier, manipuleer beursie-interaksies en herskryf betalingsbestemmings sodat fondse en goedkeurings na aanvaller-beheerde rekeninge herlei word sonder enige ooglopende tekens vir die gebruiker,” volgens Aikido.

Junon is na bewering geteiken deur 'n gesofistikeerde sosiale ingenieurswese-aanval. Die bedreigingsakteurs het 'n paar dae tevore 'n typosquatting-domein geregistreer en dit gebruik om wettige npm-administrateurs na te boots in 'n tweefaktor-verifikasie-herstel-e-pos. Junon het beweer dat dit "baie wettig" gelyk het.

'n Gelukkige ontsnapping?

Uiteindelik het die oopbrongemeenskap saamgespan en – indrukwekkend – is alle kwaadwillige pakketweergawes minder as vier uur later verwyder.

“Almal werk saam. Inligting kan gedeel word. Die aantal mense wat nou hieraan werk, is nie net groter as jou sekuriteitspan nie, dit is groter as jou maatskappy,” het Anchore se visepresident van sekuriteit gesê. Josh Bressers. Verslae het destyds voorgestel dat die bedreigingsakteurs daarin geslaag het om minder as $1000 uit slagoffers se kripto-beursies te steel, ten spyte van die potensieel groot reikwydte van die veldtog.

Dit was egter nie die einde van die storie nie. Selfs in die kort tydperk waartydens die pakkette in die omloop was, het hulle wyd en syd versprei. Volgens die sekuriteitsverskaffer Wiz het 10% van wolkomgewings... geraak is.

"Gedurende die kort twee-uur tydsbestek waarin die weergawes beskikbaar was vir aflaai, indien hulle in frontend-boue opgeneem en as webbates gestuur is, sou enige blaaiers wat die betrokke webwerf laai, 'n kwaadwillige vrag uitvoer wat netwerk- en beursie-API's koppel om kriptogeldeenheid-ontvangers/goedkeurings stilweg te herskryf voor ondertekening, sodat transaksies na aanvaller-beheerde beursies herlei sou word," het die verkoper beweer.

Dit het later aan die lig gekom dat die bedreigingsakteurs ook ander onderhouers en pakkette geteiken het, insluitend duckdb, proto-tinker-wc, prebid-universal-creative, en prebid en prebid.js. Alhoewel dit gelukkig is dat die kwaadwillige vrag "slegs" kripto-steelende wanware was, eerder as iets ernstiger, is dit sekerlik 'n waarskuwing vir die toekoms.

Onderhouers in die Kruishaar

Daar is geen manier om die oopbron-gees terug in die bottel te sit nie. Meer as 6.6 triljoen oopbron-komponente is in 2024 afgelaai, met npm wat verantwoordelik was vir 4.5 triljoen versoeke, volgens SonatipeMaar dit is kommerwekkend dat die instandhouers van uiters gewilde pakkette, dikwels onderbefonds en oorbeklemtoon, in groter getalle geteiken word. Sonatype se streeksvisepresident, Mitun Zavery, vergelyk hierdie jongste veldtog met die een wat verlede jaar op xz Utils gemik was.

“Ons het 'n duidelike patroon gesien waar bedreigingsakteurs die instandhouers van wyd gebruikte maar onderbenutte projekte teiken. Die onlangse kompromie van npm-pakkette soos chalk en debug weerspieël wat ons waargeneem het met die xZ Utils-agterdeurpoging. In beide gevalle het die teenstander geduldig vertroue gebou om beheer te verkry, wat toon dat sosiale manipulasie nou 'n sleutelfase in die kompromie van die voorsieningsketting is,” vertel hy aan ISMS.online.

“Die bedryf moet erken dat oopbron-onderhouders deel is van ons kritieke infrastruktuur en hulle dienooreenkomstig begin toerusting gee met befondsing, sekuriteitsinstrumente en ondersteuningsnetwerke. Ons werk aan xz Utils het getoon dat samewerkende vroeë waarskuwing en vinnige reaksie regoor die ekosisteem hierdie aanvalle kan stop voordat hulle versprei.”

Aanvaar kompromie

JFrog se visepresident van sekuriteitsnavorsing, Sachar Menashe, voer aan dat die uitdaging met sulke aanvalle hul spoed is.

“Sodra ’n vertroude pakket gekompromitteer is, kan dit vinnig versprei deur CI/CD-pyplyne en oor projekte. ’n Nul-vertroue-benadering is van kritieke belang: geen pakket moet vertrou word bloot omdat dit gewild is nie,” sê hy vir ISMS.online. “Om hierdie aanvalle te verminder, moet organisasies tweefaktor-verifikasie verpligtend maak. Dit word reeds in npm en PyPI afgedwing, maar nie in ander bewaarplekke soos Maven en NuGet nie.”

Ideaal gesproke moet pakkette gekeur word voordat hulle 'n organisasie binnegaan, met gedefinieerde reëls en ontleding van direkte en oorganklike afhanklikhede in konteks, gaan Menashe voort.

“Die uitstel van opgraderings help ook. Trouens, ons navorsing toon dat dit 'n sterk beskerming bied om ten minste 14 dae te wag voordat nuwe pakketweergawes ontplooi word, aangesien gekaapte pakkette amper altyd binne hierdie tydsbestek opgespoor en verwyder word,” sê hy.

Sonatype se Zavery voer aan dat sigbaarheid in oopbronkomponente en -pakkette ook belangrik is.

“Organisasies moet aanvaar dat kompromie moontlik is en gereed wees om te reageer deur akkurate sagteware-materiaallyste (SBOM's) te handhaaf, te monitor vir verdagte afhanklikheidsveranderinge en sandbox-boue te gebruik,” verduidelik hy. “Toe ons die xz Utils-voorval ondersoek het, het ons gesien hoe hierdie sigbaarheid dit moontlik gemaak het om besmette komponente vinnig te identifiseer en te verwyder.”

Sekuriteitstandaarde kan ook organisasies help, voer Zavery aan.

“Raamwerke soos ISO 27001 kan help deur gedissiplineerde risikobestuur, toegangsbeheer en voorvalreaksieprosesse af te dwing, maar dit moet vanuit 'n voorsieningskettinglens toegepas word,” sluit hy af. “Die insluiting van oopbron-sekuriteitsbeheermaatreëls in hierdie standaarde kan organisasies meer veerkragtig maak teen die soort rekeningoorname wat ons pas gesien het.”

Een ding is seker: hierdie aanvalle sal elke keer sterker terugkom. Net dae nadat hierdie veldtog geland het, die eerste wurmbare wanware ooit die npm-ekosisteem tref. Wat ook al gebeur, KISO's kan dit nie bekostig om 'n oopbron-sekuriteitsblindekol in hul organisasie te hê nie.

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Lees meer van Phil Muncaster

cyber Security 6 November 2025

Die NCSC sê “Dis tyd om op te tree”, maar hoe?

Dit is ongewoon om 'n ope brief van 'n sakeleier aan die begin van 'n regering se kuberveiligheidsverslag te sien. Veral iemand wie se maatskappy j...

Phil Muncaster

cyber Security 9 Oktober 2025

Kan die Verenigde Koninkryk 'n multimiljard pond KI-versekeringssektorbanier skep?

Kan die VK 'n KI-versekeringsektor van miljarde pond skep?

Die regering gaan voluit op KI. Die KI-geleenthede-aksieplan, wat in Januarie aangekondig is, poog om ekonomiese groei te bevorder, die kwaliteit van...

Phil Muncaster

cyber Security 2 Oktober 2025