Diverse veelgebruikte npm-packages (softwarebouwstenen) zijn besmet geraakt met kwaadaardige code. Dit gebeurde na een geslaagde phishingaanval op een van de beheerders van deze bouwblokken. Een npm-package is een bouwblok dat ontwikkelaars kunnen gebruiken in hun software, zodat ze veelgebruikte onderdelen niet elke keer opnieuw hoeven te programmeren. Daardoor komen bouwblokken overal terecht: zowel in maatwerksoftware als in standaard producten. De besmette onderdelen worden samen meer dan 2 miljard keer per week gedownload en gebruikt door ontwikkelaars wereldwijd.

Phishing

De aanvallers kregen toegang tot de repository via een phishing-mail. De aanval richtte zich op Josh Junon (ook bekend als Qix), een ontwikkelaar die medebeheerder is van meerdere populaire packages. Qix heeft de rechten om nieuwe code toe te voegen en goed te keuren, waardoor zijn account voldoende is om deze malware te verspreiden.

Junon ontving een phishingmail die sterk leek alsof deze van npm zelf afkomstig was, met de mededeling dat hij vóór 10 september 2025 zijn twee-staps-verificatie (2FA) moest vernieuwen via een link. Toen hij deze link volgde, kwam hij op een nepwebsite terecht waar hij zijn gebruikersnaam, wachtwoord en 2FA-code invoerde. Deze gegevens werden direct onderschept door criminelen via een zogenoemde Adversary-in-the-Middle-aanval, waarmee zij toegang tot zijn account verkregen. Met die toegang konden de aanvallers vervolgens besmette versies van twintig populaire packages publiceren in de officiële npm-bibliotheek.

Op BlueSky reageerde Junon: “Sorry everyone, I should have paid more attention. Not like me; have had a stressful week. Will work to get this cleaned up.”

Welke pakketten zijn getroffen?

Onder meer de volgende NPM-pakketten bevatten tijdelijk kwaadaardige code:

• chalk (veel gebruikt om tekst in kleur weer te geven in softwaretools)

• debug (veel gebruikt voor foutopsporing)

• ansi-regex, ansi-styles, wrap-ansi, strip-ansi (onderdelen die met tekstopmaak werken)

• color-convert, color-string, color-name (voor kleurbeheer in software)

Samen zijn deze pakketten goed voor twee miljard downloads per week. Omdat ze vaak als bouwsteen in andere pakketten worden hergebruikt, kon de besmetting zich breed verspreiden.

Vooral risico voor crypo-aanbieders

Uit analyse van de malware bleek dat deze was ontworpen om cryptovaluta te stelen. De kwaadaardige code begon met het controleren of deze in een browser draaide, en haakte vervolgens in op functies zoals window.fetch, XMLHttpRequest en window.ethereum.request. Dit zijn onderdelen die websites gebruiken om gegevens uit te wisselen en crypto-wallets aan te sturen. Hierdoor kon de code bij een betaling ongemerkt het walletadres van de ontvanger vervangen door dat van de aanvaller, waarbij het vervalste adres lijkt op het originele en daardoor nauwelijks opviel.

Dit soort aanvallen valt onder de noemer software supply chain attack. Bij een supply chain attack wordt niet de eindgebruiker direct aangevallen, maar een schakel in de toeleveringsketen van software. Soortgelijke aanvallen zijn al vaker gezien, bijvoorbeeld via typosquatting (een pakketje aanbieden met een bijna dezelfde naam als een populair pakket) of via slopsquatting (inspelen op foutjes van AI-systemen die verkeerde pakketnamen adviseren).

In dit geval is de malware specifiek gericht op ontwikkelaars die crypto-gerelateerde diensten aanbieden, waardoor de meeste software waarschijnlijk niet geraakt wordt, zelfs als deze besmet is geraakt.