Meerdere Node.js maintainers doelwit van social engineering-aanvallen

dinsdag, 7 april 2026 (11:09) - Security.NL

In dit artikel:

Meerdere belangrijke maintainers in het Node.js-ecosysteem zijn recent het doelwit geweest van gerichte social engineering-aanvallen door dezelfde groep die eerder het account van de Axios-maintainer compromitteerde, zo blijkt uit een analyse van beveiligingsbedrijf Socket. De aanvallen raakten onder meer mensen achter projecten als WebTorrent, StandardJS, buffer, talloze ECMAScript-polyfills en shims, Lodash, Fastify, Pino, Undici, Dotenv, mocha, neostandard, npm-run-all2, type-fest en leden van verschillende Node.js-werkgroepen.

Axios, een veelgebruikt HTTP-clientpakket met meer dan honderd miljoen downloads per week, werd eerder gebruikt als entree: aanvallers kregen via social engineering toegang tot de primaire maintainer en publiceerden zo besmette versies die een remote access trojan (RAT) installeerden. Socket meldt dat dezelfde tactiek – vaak via LinkedIn – ook bij andere maintainers werd toegepast. Aanvallers kloonden profielen van echte bedrijfsoprichters en nodigden doelen uit voor Teams-gesprekken waarin zij werden verleid verouderde software te updaten; die “update” bleek malware die sessiecookies, tokens en andere credentials oogstte.

Sommige aangevallen maintainers beheren packages met honderden miljoenen wekelijkse downloads (genoemd zijn aantallen rond 114 miljoen en 137 miljoen), waardoor compromise grote gevolgen kan hebben voor de wereldwijde software-supply-chain. Een afgezette poging betrof eerst een malafide app en later het verzoek een curl-commando uit te voeren; toen een maintainer weigerde, verdwenen de aanvallers en verwijderden ze conversaties.

De groep achter de campagnes wordt in verband gebracht met Noord-Korea en heeft in het verleden cryptogerelateerde doelen aangevallen. Socket wijst erop dat toegang tot npm-pakketten aanvallers een krachtig kanaal biedt om software die bedrijven wereldwijd gebruiken te saboteren. Beveiligingsonderzoekers roepen slachtoffers op hun ervaringen te delen en elkaar te waarschuwen in plaats van zich te schamen.