PhantomRaven-haittaohjelma
Kyberturvallisuustutkijat ovat paljastaneet erittäin aktiivisen ohjelmistojen toimitusketjuhyökkäyksen, joka kohdistuu npm-ekosysteemiin. Yli 100 haitallista pakettia on tunnistettu, ja ne pystyvät varastamaan arkaluontoisia kehittäjien tunnistetietoja, kuten todennustunnuksia, CI/CD-salaisuuksia ja GitHub-tunnistetietoja, suoraan vaarantuneilta koneilta.
PhantomRaven-koodinimeltään tunnettu kampanja julkaistiin ensimmäisen kerran elokuussa 2025. Sittemmin se on laajentunut 126 npm:n kirjastoon ja saanut yli 86 000 asennusta, mikä osoittaa näiden haitallisten pakettien nopeaa leviämistä ja omaksumista.
Sisällysluettelo
Haitalliset paketit lentävät tutkan alla
Useat merkityistä paketeista sisältävät:
- op-cli-installer – 486 latausta
- käyttämättömät tuonnit – 1 350 latausta
- badgekit-api-client – 483 latausta
- polyfill-corejs3 – 475 latausta
- eslint-kommentit – 936 latausta
PhantomRavenin erityisen salakavalan tekee sen käyttämät etädynaamiset riippuvuudet (RDD). Virallisen npm-rekisterin sijaan haitalliset paketit osoittavat mukautettuun HTTP-URL-osoitteeseen (packages.storeartifact.com). Tämä mahdollistaa npm:n hakea riippuvuuksia epäluotettavasta ulkoisesta lähteestä, ohittaen tehokkaasti npmjs.com-suojaukset.
Perinteiset tietoturvaskannerit ja riippuvuusanalyysityökalut eivät tunnista näitä RDD-tiedostoja, koska automatisoidut järjestelmät näkevät paketit riippuvuuksina, joilla ei ole lainkaan riippuvuuksia.
Miten hyökkäys toimii
Hyökkäysketju alkaa heti, kun kehittäjä asentaa jonkin näennäisesti vaarattomista paketeista. Keskeisiä elementtejä ovat:
Asennuksen esiasennuksen komennon suorittaminen : Paketti sisältää asennuksen esiasennuksen elinkaarikomentosarjan, joka suorittaa päähyötykuorman automaattisesti.
Etähyötykuorman haku : Skripti noutaa haitallisen riippuvuuden hyökkääjän hallitsemalta palvelimelta.
Tietojen vuotaminen : Suoritettuaan haittaohjelma skannaa kehittäjän ympäristöstä sähköpostiosoitteita, kerää CI/CD-ympäristön tiedot, tallentaa järjestelmästä sormenjäljet (mukaan lukien julkisen IP-osoitteen) ja lähettää tiedot etäpalvelimelle.
Hyökkääjä voi muokata hyötykuormaa halutessaan ja aluksi käyttää harmitonta koodia välttääkseen havaitsemisen ennen kuin julkaisee haitallisia päivityksiä, kun paketti on otettu käyttöön.
Ihmisen ja tekoälyn sokeiden kulmien hyödyntäminen
Pakettinimien valinta on harkittua. Uhkatoimija hyödyntää taktiikkaa, joka tunnetaan nimellä slopsquatting, jossa suuret kielimallit (LLM) hallusinoivat olemattomia, mutta uskottavilta kuulostavia pakettinimiä. Kehittäjät saattavat luottaa näihin paketteihin niiden realististen nimien vuoksi tietämättä piilevästä uhasta.
Kuten tutkijat huomauttavat, PhantomRaven korostaa hyökkääjien kasvavaa hienostuneisuutta:
- Etädynaamiset riippuvuudet välttyvät staattiselta analyysiltä.
- Tekoälyn luomat pakettien nimet hyödyntävät kehittäjien luottamusta.
- Elinkaariskriptit suoritetaan automaattisesti ilman käyttäjän toimia.
Tämä kampanja korostaa, kuinka haitalliset toimijat löytävät uusia tapoja piilottaa koodia avoimen lähdekoodin ekosysteemeissä hyödyntäen perinteisten tietoturvatyökalujen aukkoja.
Miksi npm on ensisijainen kohde
NPM-ekosysteemin vähäinen kitka pakettien julkaisemisessa yhdistettynä esiasennus-, asennus- ja asennuksen jälkeisten komentosarjojen automaattiseen suorittamiseen tekee siitä ensisijaisen kohteen. Hyökkääjät voivat piilottaa haitallista toimintaa elinkaarikomentosarjojen sisään, usein kehittäjän tietämättä, mikä osoittaa lisääntyneen valppauden ja vankkojen tietoturvakäytäntöjen tarpeen nykyaikaisissa kehitysympäristöissä.
