PhantomRaven Malware

Natuklasan ng mga mananaliksik sa cybersecurity ang isang napaka-aktibong pag-atake sa supply chain ng software na nagta-target sa npm ecosystem. Mahigit sa 100 nakakahamak na pakete ang natukoy, na may kakayahang magnakaw ng mga sensitibong kredensyal ng developer, kabilang ang mga token sa pagpapatotoo, mga lihim ng CI/CD, at mga kredensyal ng GitHub, nang direkta mula sa mga nakompromisong machine.

Ang campaign, na pinangalanang PhantomRaven, ay unang lumabas noong Agosto 2025. Simula noon, lumawak na ito sa 126 npm na library at nakakuha ng higit sa 86,000 pag-install, na nagpapakita ng mabilis na pagkalat at pag-adopt ng mga nakakahamak na paketeng ito.

Mga Nakakahamak na Package na Lumilipad sa Ilalim ng Radar

Ang ilan sa mga naka-flag na pakete ay kinabibilangan ng:

• op-cli-installer – 486 na pag-download
• unused-imports – 1,350 downloads
• badgekit-api-client – 483 download
• polyfill-corejs3 – 475 na pag-download
• eslint-comments – 936 download

Ang partikular na nakakainis sa PhantomRaven ay ang paggamit nito ng Remote Dynamic Dependencies (RDDs). Sa halip na kumuha ng code mula sa opisyal na npm registry, ang mga nakakahamak na package ay tumuturo sa isang custom na HTTP URL (packages.storeartifact.com). Nagbibigay-daan ito sa npm na kunin ang mga dependency mula sa isang hindi pinagkakatiwalaang panlabas na pinagmulan, na epektibong lumalampas sa mga proteksyon ng npmjs.com.

Nabigo ang mga tradisyunal na scanner ng seguridad at mga tool sa pagsusuri ng dependency na makita ang mga RDD na ito, dahil nakikita ng mga automated system na ang mga pakete ay mayroong '0 Dependencies.'

Paano Gumagana ang Pag-atake

Magsisimula ang chain ng pag-atake sa sandaling mag-install ang isang developer ng isa sa mga mukhang benign na pakete. Kabilang sa mga pangunahing elemento ang:

Pre-install Hook Execution : Ang package ay naglalaman ng pre-install lifecycle script na awtomatikong nagpapatupad ng pangunahing payload.

Remote Payload Retrieval : Kinukuha ng script ang nakakahamak na dependency mula sa server na kinokontrol ng attacker.

Pag-exfiltration ng Data : Kapag naisakatuparan, ini-scan ng malware ang kapaligiran ng developer para sa mga email address, nagtitipon ng mga detalye ng kapaligiran ng CI/CD, nagpi-fingerprint sa system (kabilang ang pampublikong IP), at nagpapadala ng data sa isang malayong server.

Maaaring baguhin ng umaatake ang payload sa kalooban, sa simula ay naghahatid ng hindi nakakapinsalang code upang maiwasan ang pagtuklas bago itulak ang mga nakakahamak na update kapag natanggap na ang package.

Pagsasamantala sa Mga Blind Spots ng Tao at AI

Ang pagpili ng mga pangalan ng package ay sinadya. Gumagamit ang threat actor ng taktika na kilala bilang slopsquatting, kung saan ang mga large language models (LLMs) ay nagha-hallucinate ng mga pangalan ng package na hindi umiiral ngunit makatwiran. Maaaring pinagkakatiwalaan ng mga developer ang mga package na ito dahil sa kanilang makatotohanang pagpapangalan, na hindi alam ang nakatagong banta.

Tulad ng napapansin ng mga mananaliksik, itinatampok ng PhantomRaven ang lumalagong pagiging sopistikado ng mga umaatake:

• Ang Remote Dynamic Dependencies ay umiiwas sa static na pagsusuri.
• Sinasamantala ng mga pangalan ng package na binuo ng AI ang tiwala ng developer.
• Awtomatikong ine-execute ang mga lifecycle script nang walang pakikipag-ugnayan ng user.

Binibigyang-diin ng campaign na ito kung paano nakakahanap ang mga malisyosong aktor ng mga bagong paraan upang itago ang code sa mga open-source na ecosystem, na sinasamantala ang mga puwang sa tradisyonal na tool sa seguridad.

Bakit ang npm ay isang Prime Target

Ang mababang friction ng npm ecosystem para sa pag-publish ng mga package, kasama ng awtomatikong pagpapatupad ng mga script ng preinstall, install, at postinstall, ay ginagawa itong pangunahing target. Maaaring itago ng mga attacker ang malisyosong gawi sa loob ng mga script ng lifecycle, kadalasan nang hindi nalalaman ng developer, na naglalarawan ng pangangailangan para sa mas mataas na pagbabantay at matatag na kasanayan sa seguridad sa mga modernong kapaligiran sa pag-unlad.