PhantomRaven Malware

Studiuesit e sigurisë kibernetike kanë zbuluar një sulm shumë aktiv të zinxhirit të furnizimit të softuerëve që synon ekosistemin npm. Janë identifikuar mbi 100 paketa keqdashëse, të afta të vjedhin kredencialet e ndjeshme të zhvilluesve, duke përfshirë tokenët e autentifikimit, sekretet CI/CD dhe kredencialet e GitHub, direkt nga makinat e kompromentuara.

Fushata, me emrin e koduar PhantomRaven, u shfaq për herë të parë në gusht 2025. Që atëherë, ajo është zgjeruar në 126 librari npm dhe ka mbledhur më shumë se 86,000 instalime, duke demonstruar përhapjen dhe adoptimin e shpejtë të këtyre paketave dashakeqe.

Pako të dëmshme që fluturojnë nën radar

Disa nga paketat e shënuara përfshijnë:

• op-cli-installer – 486 shkarkime
• importe-të-papërdorura – 1,350 shkarkime
• badgekit-api-client – 483 shkarkime
• polyfill-corejs3 – 475 shkarkime
• komente-e-eslint – 936 shkarkime

Ajo që e bën PhantomRaven veçanërisht të fshehtë është përdorimi i Varësive Dinamike në Distancë (RDD). Në vend që të marrin kod nga regjistri zyrtar i npm, paketat keqdashëse tregojnë një URL HTTP të personalizuar (packages.storeartifact.com). Kjo i lejon npm të marrë varësi nga një burim i jashtëm jo i besueshëm, duke anashkaluar në mënyrë efektive mbrojtjet e npmjs.com.

Skanerët tradicionalë të sigurisë dhe mjetet e analizës së varësive nuk arrijnë t'i zbulojnë këto RDD, pasi sistemet e automatizuara i shohin paketat si të kenë '0 Varësi'.

Si funksionon sulmi

Zinxhiri i sulmit fillon sapo një zhvillues instalon një nga paketat në dukje të mira. Elementet kryesore përfshijnë:

Ekzekutimi i Hook-ut para instalimit : Paketa përmban një skript të ciklit jetësor para instalimit që ekzekuton automatikisht ngarkesën kryesore.

Marrja e Ngarkesës në Distancë : Skripti merr varësinë keqdashëse nga serveri i kontrolluar nga sulmuesi.

Ekfiltrimi i të Dhënave : Pasi ekzekutohet, programi keqdashës skanon mjedisin e zhvilluesit për adresa email-i, mbledh detajet e mjedisit CI/CD, merr gjurmët e gishtërinjve të sistemit (duke përfshirë IP-në publike) dhe i dërgon të dhënat në një server të largët.

Sulmuesi mund ta modifikojë ngarkesën sipas dëshirës, fillimisht duke shërbyer kod të padëmshëm për të shmangur zbulimin përpara se të shpërndajë përditësime keqdashëse sapo paketa të fillojë të përdoret.

Shfrytëzimi i pikave të verbëra të njeriut dhe inteligjencës artificiale

Zgjedhja e emrave të paketave është e qëllimshme. Aktori kërcënues përdor një taktikë të njohur si slopsquatting, ku modelet e mëdha gjuhësore (LLM) halucinojnë emra paketash joekzistente, por që tingëllojnë të besueshme. Zhvilluesit mund t'u besojnë këtyre paketave për shkak të emërtimit të tyre real, pa qenë të vetëdijshëm për kërcënimin e fshehur.

Siç vërejnë studiuesit, PhantomRaven nxjerr në pah sofistikimin në rritje të sulmuesve:

• Varësitë dinamike në distancë i shmangen analizës statike.
• Emrat e paketave të gjeneruara nga inteligjenca artificiale shfrytëzojnë besimin e zhvilluesve.
• Skriptet e ciklit jetësor ekzekutohen automatikisht pa ndërveprimin e përdoruesit.

Kjo fushatë nënvizon se si aktorët keqdashës po gjejnë mënyra të reja për të fshehur kodin në ekosistemet me burim të hapur, duke shfrytëzuar boshllëqet në mjetet tradicionale të sigurisë.

Pse npm është një objektiv kryesor

Fërkimi i ulët i ekosistemit npm për publikimin e paketave, i kombinuar me ekzekutimin automatik të skripteve të para-instalimit, instalimit dhe pas-instalimit, e bën atë një objektiv kryesor. Sulmuesit mund të fshehin sjellje dashakeqe brenda skripteve të ciklit jetësor, shpesh pa dijeninë e zhvilluesit, duke ilustruar nevojën për vigjilencë të shtuar dhe praktika të forta sigurie në mjediset moderne të zhvillimit.