Złośliwe wersje chalk i debug – największy atak na npm w historii

Hakerzy przejęli konto maintainera i opublikowali złośliwe wersje 18 popularnych paczek npm, m.in. chalk i debug

Jak donosi Aikido.dev, 8 września 2025 odkryto jeden z największych ataków na łańcuch dostaw npm. Zainfekowanych zostało aż 18 paczek używanych w większości projektów JavaScript – w tym chalk, debug, ansi-styles czy strip-ansi. W sumie odpowiadają one za ponad 2 miliardy pobrań tygodniowo.

Atak rozpoczął się od skutecznego phishingu – maintainer paczek, Josh Junon, podał dane logowania i kod 2FA na fałszywej stronie podszywającej się pod npm. Cyberprzestępcy wykorzystali dostęp do konta, aby wypuścić nowe wersje bibliotek z ukrytym złośliwym kodem.

Malware przeznaczony był głównie dla aplikacji webowych. Jego celem było przechwytywanie interakcji z portfelami kryptowalut i aplikacjami web3, a następnie podmiana adresów portfeli na te należące do atakujących.

Zainfekowane wersje zostały już usunięte z rejestru npm, a firmy takie jak Vercel wyczyściły buildy i ostrzegły użytkowników. Społeczność bezpieczeństwa (np. Semgrep) udostępniła reguły pozwalające na szybkie wykrycie problematycznych paczek.

Co robić?

  • Sprawdź, czy Twój projekt nie korzysta z wersji paczek z 8 września.
  • Upewnij się, że masz w repo lockfile (package-lock.json, yarn.lock).
  • Rozważ użycie kluczy sprzętowych jako metody 2FA dla kont developerskich.
  • Regularnie audytuj zależności (npm audit, Snyk, Semgrep).

Źródła:
Aikido.dev
Vercel
Semgrep

Tagi

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps