Den 8 September 2025 så skedde en sofistikerad supply chain-attack mot 18 välkonsumerade NPM-paket (Node package manager).
Dessa paket har tillsammans 2.8 miljarder nedladdningar per vecka, vilket gjorde detta till en av de största npm attackerna i historien.
Vad är en supply chain attack?
En supply-chain attack är en form av cyberattack där angriparen inte går direkt på det slutgiltiga målet.
Utan istället använder sig av en pålitlig källa där den skadliga koden har blivit tillagd (ex en uppdatering av ett NPM paket).
Detta utan att distrubitören av ex paketet är medveten om att detta har skett, oftast sker denna addering av skadlig kod via en phising attack mot leverantören.
Hoten sker inte bara mot applikationer i produktion utan det berör även utvecklingsfasen i projekten.
Därmed så bör säkerhetsrutinerna för projektet och arbetssättet vara tydligt och satt redan i början på projektet.
Det räcker inte bara med att göra penentrations-tester av en applikation innan lansering, eller övervaka en redan lanserad applikation.
Lärdomar
Attacken innebar att skadliga uppdateringar av paket som tidigare ansetts som pålitliga, vilket gjorde att skadlig kod exekverades när användaren installerade paketen.
Det attacken var ute efter var att hitta känslig information så som nycklar eller tokens där de kunde accessa konton så som databaser, servrar eller molntjänster.
Dessa attacker är väldigt svåra att identifiera, men vi på A North Group kommer med en del rekommendationer på hur ert team kan förebygga en sådan attack.
Regelbunden uppdatering av beroenden: Se till att alla NPM-paket och deras beroenden hålls uppdaterade för att minimera risken för utnyttjade sårbarheter.
Samtidigt! Var inte alltid först på bollen med att uppdatera till en ny version, många gånger kan det vara bra att avvakta och se att den nya versionen är stabil innan man själv uppdaterar.
– Användning av säkerhetsverktyg: Implementera verktyg som kan analysera och identifiera skadlig kod i beroenden.
– Övervakning av ovanlig aktivitet: Håll koll på system och nätverk för att upptäcka tecken på potentiella attacker.
– Håll er uppdaterade om säkerhetsintrång/brister i de tredjepartsberoenden som applikationen har.
Denna attack understryker vikten av att ha robusta säkerhetsrutiner på plats, särskilt när man arbetar med tredjepartsberoenden i utvecklingsprojekt.
