Perisian Hasad PhantomRaven
Penyelidik keselamatan siber telah menemui serangan rantaian bekalan perisian yang sangat aktif yang menyasarkan ekosistem npm. Lebih 100 pakej berniat jahat telah dikenal pasti, mampu mencuri bukti kelayakan pembangun yang sensitif, termasuk token pengesahan, rahsia CI/CD dan bukti kelayakan GitHub, terus daripada mesin yang terjejas.
Kempen yang diberi nama kod PhantomRaven, pertama kali muncul pada Ogos 2025. Sejak itu, ia telah berkembang kepada 126 pustaka npm dan memperoleh lebih daripada 86,000 pemasangan, menunjukkan penyebaran pantas dan penggunaan pakej berniat jahat ini.
Isi kandungan
Pakej Hasad Terbang Di Bawah Radar
Beberapa pakej yang dibenderakan termasuk:
- op-cli-installer – 486 muat turun
- import-tidak digunakan – 1,350 muat turun
- badgekit-api-client – 483 muat turun
- polyfill-corejs3 – 475 muat turun
- eslint-komen – 936 muat turun
Apa yang menjadikan PhantomRaven sangat berbahaya ialah penggunaannya Remote Dynamic Dependencies (RDDs). Daripada mengambil kod daripada pendaftaran npm rasmi, pakej hasad menghala ke URL HTTP tersuai (packages.storeartifact.com). Ini membolehkan npm mendapatkan semula kebergantungan daripada sumber luaran yang tidak dipercayai, dengan berkesan memintas perlindungan npmjs.com.
Pengimbas keselamatan tradisional dan alat analisis kebergantungan gagal mengesan RDD ini, kerana sistem automatik melihat pakej sebagai mempunyai '0 Ketergantungan.'
Bagaimana Serangan Berfungsi
Rantaian serangan bermula sebaik sahaja pembangun memasang salah satu pakej yang kelihatan tidak berbahaya. Elemen utama termasuk:
Prapasang Pelaksanaan Cangkuk : Pakej ini mengandungi skrip kitaran hayat prapasang yang melaksanakan muatan utama secara automatik.
Pengambilan Muatan Jauh : Skrip mengambil pergantungan berniat jahat daripada pelayan yang dikawal oleh penyerang.
Data Exfiltration : Setelah dilaksanakan, perisian hasad mengimbas persekitaran pembangun untuk mendapatkan alamat e-mel, mengumpulkan butiran persekitaran CI/CD, cap jari sistem (termasuk IP awam) dan menghantar data ke pelayan jauh.
Penyerang boleh mengubah suai muatan sesuka hati, pada mulanya menyediakan kod tidak berbahaya untuk mengelak pengesanan sebelum menolak kemas kini berniat jahat sebaik sahaja pakej itu diterima pakai.
Mengeksploitasi Titik Buta Manusia dan AI
Pemilihan nama pakej adalah disengajakan. Aktor ancaman menggunakan taktik yang dikenali sebagai slopsquatting, di mana model bahasa besar (LLM) mengkhayalkan nama pakej yang tidak wujud tetapi munasabah. Pembangun mungkin mempercayai pakej ini kerana penamaannya yang realistik, tidak menyedari ancaman tersembunyi.
Seperti yang dinyatakan oleh penyelidik, PhantomRaven menyerlahkan kecanggihan penyerang yang semakin meningkat:
- Kebergantungan Dinamik Jauh mengelakkan analisis statik.
- Nama pakej yang dijana AI mengeksploitasi kepercayaan pembangun.
- Skrip kitaran hayat dilaksanakan secara automatik tanpa interaksi pengguna.
Kempen ini menggariskan bagaimana aktor berniat jahat mencari cara baharu untuk menyembunyikan kod dalam ekosistem sumber terbuka, mengeksploitasi jurang dalam alatan keselamatan tradisional.
Mengapa npm Adalah Sasaran Utama
Geseran rendah ekosistem npm untuk pakej penerbitan, digabungkan dengan pelaksanaan automatik skrip prapasang, pemasangan dan pascapasang, menjadikannya sasaran utama. Penyerang boleh menyembunyikan tingkah laku berniat jahat dalam skrip kitaran hayat, selalunya tanpa pengetahuan pembangun, menggambarkan keperluan untuk meningkatkan kewaspadaan dan amalan keselamatan yang teguh dalam persekitaran pembangunan moden.
