Kompromitované balíčky NPM šíria malvér

Správca open-source NPM balíčkov pre Node.js uviedol na svojej GitHub stránke varovanie, že sa stal obeťou phishingového útoku. Útočníci vymenili jeho balíčky za škodlivé.

Infikované balíčky:

• eslint-config-prettier verzia 8.10.1, 9.1.1, 10.1.6, a 10.1.7.
• eslint-plugin-prettier verzia 4.2.2 and 4.2.3.
• synckit verzia 0.11.9
• @pkgr/core verzia 0.2.8
• napi-postinstall verzia 0.3.1

Opis útoku:

node-gyp.dll (c68e42f416f482d43653f36cd14384270b54b68d6496a8e34ce887687de5b441

node-gyp.dll)

Úspešný phishingový útok dovolil útočníkom získať prístup k NPM tokenu správcu balíčkov a vykonať útok na dodávateľský reťazec. Útočník zverejnil podvrhnuté verzie balíčkov eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core a napi-postinstall. Obsahujú poinštalačný skript s funkciou logDiskSpace(); ktorá sa pokúsi vykonať podvrhnutý trojanizovaný DLL súbor (node-gyp.dll), cez systémový proces rundll32. 

Možné škody:

• Únik citlivých informácií
• Vzdialené vykonanie príkazov

Odporúčania:

Odporúčame okamžite odinštalovať infikované verzie balíčkov, verifikovať „lockfiles“: package-lock.json, pnpm-lock.yaml, bun.lock alebo yarn.lock či neobsahujú referencie na tieto súbory a kontrolovať CI logy po 18. júli na záznamy nevyžiadanej aktivity.

Zdroje:

• https://www.bleepingcomputer.com/news/security/popular-npm-linter-packages-hijacked-via-phishing-to-drop-malware/
• https://thehackernews.com/2025/07/malware-injected-into-6-npm-packages.html
• https://www.virustotal.com/gui/file/c68e42f416f482d43653f36cd14384270b54b68d6496a8e34ce887687de5b441/community