Folytatódik az npm adathalász kampány
A népszerű „is” NPM-csomagot egy olyan ellátási láncot érintő támadás során kompromittálták, amely backdoor-t juttatott be az áldozatok rendszerébe, így a támadók teljes hozzáférést kaptak a kompromittált eszközökhöz. Erre azután került sor, hogy a karbantartói fiókokat adathalászat útján eltérítették, majd a tulajdonosok nevében jogosulatlan változtatásokat hajtottak végre több órán keresztül észrevétlenül, és potenciálisan sok fejlesztőt kompromittáltak, akik letöltötték az új, fertőzött kiadásokat.
Az “is” csomag egy lightweight JavaScript utility könyvtár, amely számos típusellenőrzési és értékérvényesítési funkciót biztosít. A szoftver több mint 2,8 millió heti letöltéssel rendelkezik az NPM csomagindexén. Kiterjedten használják alacsony szintű segédprogram-függőségként a fejlesztőeszközökben, tesztelési könyvtárakban, build-rendszerekben, valamint backend- és CLI-projektekben.
2025. július 19-én a csomag elsődleges karbantartója, John Harband bejelentette, hogy a 3.3.1 és 5.0.0 közötti verziók kártékony kódot tartalmaznak, és nagyjából 6 órával azután távolították el őket, hogy a kiberszereplők benyújtották őket az npm-hez.
Ez ugyanannak az NPM ellátási lánc támadásnak az eredménye volt, amely az npnjs[.]com hamis tartományt használta a karbantartók hitelesítő adatainak megszerzésére, majd népszerű csomagok hamisított verzióinak közzétételére.
