Onderzoekers waarschuwen voor "worm" functionaliteit in besmette npm packages

In dit artikel:

Beveiligingsonderzoekers ontdekten recentelijk meerdere npm-packages van Namastex Labs (een aanbieder van AI‑"agentic solutions") die malware bevatten die ontwikkelaarscredenties en -tokens buitmaakt en zichzelf probeert te verspreiden. De kwaadaardige code doorzoekt het getroffen systeem op onder andere cryptowallets, API‑keys, SSH‑sleutels, cloud‑inloggegevens en opgeslagen wachtwoorden uit de lokale Chrome Login Database.

De malware zoekt specifiek naar npm‑tokens en PyPI‑credentials, bepaalt welke packages de ontwikkelaar met die credentials kan publiceren, downloadt de package‑tarballs, voegt een malafide postinstall‑hook toe en publiceert de gewijzigde packages opnieuw — een worm‑achtig propagatiemechanisme. Hierdoor kunnen besmette ontwikkelaars onbewust nieuwe, geïnfecteerde versies de wereld in helpen.

Aanbevelingen: gebruik niet de getroffen versies, verwijder de besmette packages uit systemen en CI/CD‑pipelines en roteer onmiddellijk alle credentials, API‑keys en tokens. Extra voorzorgsmaatregelen zijn het beperken van tokenrechten, reviewen van dependency wijzigingen en inzetten van dependency‑scanners en gesigneerde packages om supply‑chainaanvallen te verminderen.