Onderzoekers van CyberArk Labs waarschuwen voor grootschalige aanval op populaire npm-packages

Onderzoekers van CyberArk Labs hebben een grootschalige supply chain-aanval ontdekt die meer dan 40 npm-packages treft, waaronder het populaire pakket tinycolor. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm registry biedt het een groot archief met openbare, besloten en commerciële packages.

De aanval bleef lange tijd onopgemerkt omdat de aanvallers een legitiem hulpmiddel gebruikten dat op GitHub wordt gehost, een vertrouwd online platform voor softwareontwikkeling en versiebeheer. Deze methode, waarbij legitieme tools, websites en diensten worden misbruikt, komt steeds vaker voor bij supply chain-aanvallen. Het doel is vaak het besmetten van ontwikkelomgevingen of het stelen van inloggegevens.

De cybercriminelen maakten gebruik van een geautomatiseerd proces om downstream-projecten te trojaniseren. Via de functie NpmModule.updatePackage werd een tarball package opgehaald, het bestand package.json gewijzigd, een lokale payload (bundle.js) geïnjecteerd, het archief herpakt en het gemanipuleerde pakket gepubliceerd. Deze payload doorzocht vervolgens systemen naar tokens en cloud-credentials met behulp van de legitieme scanningtool TruffleHog.

De aanval volgt kort na een eerder supply chain-incident op 8 september 2025, waarbij npm-packages met miljarden wekelijkse downloads kwaadaardige code uitvoerden. Volgens CyberArk Labs benadrukt dit de groeiende frequentie en impact van dergelijke aanvallen.

Advies aan securityteams:
• Do’s: roteer tokens en secrets regelmatig en test nieuw toegevoegde of geüpdatete pakketten altijd eerst in afgesloten omgevingen.
• Don’ts: sla geen gevoelige tokens of sleutels lokaal op en vertrouw niet blind op tools en services die code zonder menselijke validatie aanleveren.

Amir Landau, Team Leader Malware Research bij CyberArk Labs: “De trend van supply chain-aanvallen versnelt in zowel frequentie als impact. In 2025 zien we een ongekende golf van aanvallen op npm en andere open-source-ecosystemen. Nieuwe codingtools, zoals cursor en base44, vergroten dit risico doordat zij ongeteste pakketten direct in een omgeving kunnen uitrollen. Het is daarom cruciaal om testomgevingen strikt te scheiden van productie en ontwikkelomgevingen.”