Napadači koriste lažne npm pakete za špijunažu razvojnih okruženja
Microsoft otkrio aktivnu kampanju sa 33 zlonamerna npm paketa koja koristi dependency confusion za špijunažu razvojnih okruženja.
Šta se desilo?
Mikrosoft je detektovao aktivnu kampanju napada preko lanca snabdevanja u kojoj napadači objavljuju lažne npm pakete pod nazivima koji oponašaju interne korporativne pakete. Koristeći tehniku dependency confusion, napadači su objavili 33 zlonamerna paketa u periodu od 28. do 29. maja 2026. godine. Paketi se aktiviraju automatski tokom instalacije i preuzimaju obfuskovan kod koji prikuplja podatke o sistemskoj konfiguraciji, pristupnim kredencijima i kontekstu razvojnog okruženja.
Koga pogađa?
Riziku su izloženi razvojni inženjeri i IT timovi u kompanijama čiji interni paketi su oponaširani - uključujući Sberbank i druge velike tehnološke kompanije. Potencijalno su pogođene sve organizacije čiji se interne registry kešu ili koriste public npm repozitorijum bez adekvatne konfiguracije. Rizik je posebno visok za timove koji koriste automatizovane CI/CD pipeline-e.
Kako se zaštititi?
- Konfigurujte npm client da uvek proverava interne registry-je pre public npm registra (via .npmrc fajl)
- Koristite private npm registry sa autentifikacijom i kontrolom pristupa
- Aktivirajte signed commitments i proveru paketa pre nego što se instaliraju
- Redovno auditujte zavisnosti i detektujte neočekivane verzije paketa
- Implementirajte network monitoring koji detektuje konekcije na nepoznate C2 servere
- Ograničite dozvole npm akaunta na minimum potrebnih privilegija
- Pratite npm security preporuke i primenjujte security patche
Tehnički detalji
Napadači su registrovani pod tri maintainer identiteta: mr.4nd3r50n (mr.4nd3r50n@yandex[.]ru), ce-rwb (ogvanta@yandex[.]ru) i t-in-one (t-in-one@yandex[.]ru). Paketi su objavljeni pod devet različitih organizacionih scopea: @cloudplatform-single-spa, @wb-track, @data-science, @ce-rwb, @payments-widget, @travel-autotests, @t-in-one, @capibar.chat i @sber-ecom-core. Maliciozni kod se aktivira kroz postinstall hook u package.json tokom npm install komande. Payload je ~17 KB obfuskovanog JavaScript koda koji se preuzima sa C2 servera i izvršava se u "reconnaissance-only" modu. Kod prikuplja hostnames, environment varijable, sistemske informacije i kontekst razvojnog okruženja. Arhitektura uključuje RECON_ONLY zastavicu koja omogućava operatoru da aktivira puni exploit scenarij u budućem napadu. Napadi koriste platform-specifične payload-e (Windows, macOS, Linux), detektovanje CI/CD okruženja, cache-based deduplication tehnike i dvofazni dizajn napada (ispitivanje sada, eksploatacija kasnije).
Preporuka Sajber Radara
Sve navedene pakete i korisnike je npm tim već obrisao, međutim preporuka je da sve razvoj timove hitno proverite npm zavisnosti u vašim projektima. Proverite npm audit logove i aktivnosti na vaših sistema iz perioda 28-29. maja 2026, posebno na CI/CD serverima. Ova kampanja pokazuje koliko je kritična posvećenost zaštiti lanca snabdevanja i proveri paketa pre nego što se koriste u produkciji.