Onderzoekers van CyberArk Labs hebben een grootschalige supply chain-aanval ontdekt die meer dan 40 npm-packages treft, waaronder het populaire pakket tinycolor. Npm is de standaard package manager voor Node.js en met miljoenen gebruikers wereldwijd het grootste softwarearchief ter wereld.
Aanval via legitieme tools
De aanval bleef lange tijd onopgemerkt omdat cybercriminelen een legitieme tool gebruikten die op GitHub wordt gehost. Dit illustreert een groeiende trend: aanvallers misbruiken betrouwbare platforms, tools en services om ontwikkelomgevingen te besmetten of inloggegevens te stelen.
Via de functie NpmModule.updatePackage werd een tarball package opgehaald, het bestand package.json gewijzigd, een lokale payload (bundle.js) geïnjecteerd, het archief herpakt en opnieuw gepubliceerd. De payload doorzocht vervolgens systemen naar tokens en cloud-credentials met behulp van de legitieme scanningtool TruffleHog.
Eerdere incidenten
De aanval volgt kort na een ander groot incident op 8 september 2025, waarbij npm-packages met miljarden wekelijkse downloads kwaadaardige code uitvoerden. Volgens CyberArk Labs benadrukt dit de groeiende frequentie én impact van supply chain-aanvallen.
Advies aan securityteams
- ✅ Do’s: roteer tokens en secrets regelmatig; test nieuwe of geüpdatete pakketten altijd in afgesloten omgevingen.
- ❌ Don’ts: sla geen gevoelige tokens of sleutels lokaal op; vertrouw niet blind op externe tools en services die code zonder menselijke validatie aanleveren.
Oproep van CyberArk
“De trend van supply chain-aanvallen versnelt in zowel frequentie als impact. In 2025 zien we een ongekende golf van aanvallen op npm en andere open-source-ecosystemen,” zegt Amir Landau, Team Leader Malware Research bij CyberArk Labs. “Nieuwe codingtools, zoals cursor en base44, vergroten dit risico doordat zij ongeteste pakketten direct in een omgeving kunnen uitrollen. Het is daarom cruciaal om testomgevingen strikt te scheiden van productie en ontwikkelomgevingen.”
