NPM Supply-Chain Attack: Mitä tapahtui ja miten korjata se

Kryptovaluuttateollisuus ja koko maailma kokivat äskettäin yllättävän pelon, kun turvallisuusasiantuntijat havaitsivat toimitusketjuhyökkäyksen, joka kohdistui Node.js-ekosysteemiin ja oli jo vaarantanut jopa 18 npm-pakettia.

Tämä johtuu siitä, että näillä muutamalla paketilla on miljardeja latauksia viikossa.

Ohjelmistopaketteja käytetään kolmannen osapuolen ohjelmistojen jakeluun. Ne haetaan usein ulkoisesta lähteestä pakettienhallinnan kautta, ja ne sisältävät yleensä lähdekoodin, kirjastot, dokumentaation ja muut ohjelmiston rakentamiseen ja suorittamiseen tarvittavat tiedostot.

Nyt paketti, joka sisältää haittaohjelman, naamioituu lailliseksi, vaikka se todellisuudessa on haitallinen ja tarkoituksenaan tartuttaa ohjelmistoja. Kun se pääsee järjestelmään, paketin haittaohjelma voi muokata tiedostoja, varastaa tietoja ja jopa ottaa hallintaansa koko järjestelmän toteuttaakseen hyökkääjän toiveet.

Vaikka muut suuret avoimen lähdekoodin ekosysteemit, kuten Python ja .NET, ovat yhtä alttiita hyökkäyksille, JavaScriptin laaja käyttö tekee siitä erityisen haavoittuvan kyberrikollisille.

Node.js on avoimen lähdekoodin suoritusympäristö, joka on rakennettu JavaScriptin päälle ja mahdollistaa kehittäjien suorittaa koodinsa verkkoselaimen ulkopuolella.

Perinteisesti tulkattu ohjelmointikieli, joka tunnetaan ensisijaisesti verkkosivujen interaktiivisuuden mahdollistamisesta, käytettiin pääasiassa asiakaspuolen web-kehitykseen selaimissa, mutta Node.js laajensi JavaScriptin käyttöä palvelinpuolelle ja muihin sovelluksiin.

Node.js:n avulla kehittäjät voivat rakentaa nopeita ja skaalautuvia sovelluksia, kuten web-palvelimia, API-rajapintoja, työkaluja ja paljon muuta.

Se hyötyy laajasta avoimen lähdekoodin kirjastojen ja työkalujen ekosysteemistä, joka on saatavilla npm:n kautta, mikä yksinkertaistaa kehitystä ja tarjoaa ratkaisuja erilaisiin toiminnallisuuksiin.

Node Package Manager, eli npm, on keskeinen työkalu JavaScript-kehityksessä, jota käytetään koodipakettien löytämiseen, rakentamiseen ja hallintaan. Se auttaa riippuvuuksien hallinnassa, mahdollistaa yhteistyön ja tehostaa työnkulkuja.

Tämä maailman suurin ohjelmistorekisteri sisältää yli 3 miljoonaa koodipakettia ja on täysin ilmainen käyttää.

Kuka tahansa voi ladata kaikki npm:n julkiset ohjelmistopaketit rekisteröitymättä. Avoimen lähdekoodin kehittäjät käyttävät npm:ää ohjelmistojen jakamiseen ja lainaamiseen, kun taas monet organisaatiot käyttävät sitä yksityisen kehityksen hallintaan.

Jotta voit asentaa npm:n tietokoneellesi, sinun on ensin asennettava Node.js.

JavaScriptin pakettienhallintaa ylläpitää npm, Inc., GitHubin tytäryhtiö, joka on maailman johtava ohjelmistokehitysalusta ja jonka Microsoft on omistanut vuodesta 2018, jolloin teknologiajätti osti sen 7,5 miljardilla dollarilla kehittäjien tukemiseksi.

Viime viikolla työkalu, johon yli 17 miljoonaa kehittäjää maailmanlaajuisesti luottaa, vaarannettiin, aiheuttaen internetissä paniikkia, vaikkakin vain lyhyen hetken, koska asiantuntijat havaitsivat sen ajoissa, eikä hyökkääjät pystyneet varastamaan enempää kuin 50 dollaria. Tässä mitä tapahtui!

Mitä tapahtui NPM-toimitusketjun hyökkäyksessä (syys 2025)

Massiivisessa toimitusketjuhyökkäyksessä, joka tapahtui JavaScript-ekosysteemissä, hakkerit vaaransivat sarjan npm-paketteja haittaohjelmilla. Hyökkäyksen tavoitteena oli varastaa digitaalisia omaisuuksia tietämättömiltä käyttäjiltä.

Erityisesti kehittäjän ‘qix’ npm-tili hakkeroitiin.

Qix on avoimen lähdekoodin ylläpitäjätili, joka vaarattiin phishing-hyökkäyksellä. Tämä mahdollisti hyökkääjille 18 suositun npm-paketin infektoinnin haitallisella koodilla. Yhdessä nämä paketit ladataan satoja miljoonia kertoja viikoittain, koska ne on upotettu kehyksiin, kehittäjätyökaluihin ja tuotantopalveluihin.

Vaikutetut paketit sisältävät chalkin, debugin, color-namen, wrap-ansi:n ja ansi-styles:n, jotka ovat joitakin suosituimmista, vähemmän suosittuja npm-paketteja, joihin sisältyvät backslash, chalk-template ja has-ansi.

Swipe to scroll →

Kaikki vaikuttavat paketit on sen jälkeen poistettu npm-rekisteristä. Vaarantamalla korkean arvon avoimen lähdekoodin ylläpitäjän, hyökkäys on aseistanut luottamuksen avoimen lähdekoodin (OSS) ekosysteemiin, sillä kehittäjät eivät tarkasta kaikkia käyttämänsä riippuvuuksia. He luottavat niiden käyttöön ja maineeseen sekä rekistereiden turvallisuuteen.

Pakettien vaarantamiseksi hakkeri käytti phishing-menetelmää. Hyökkääjä käynnisti ensin phishing-kampanjan ottaakseen haltuun npm-paketin ylläpitäjän tilin, ja injektoi sitten haitallisen koodinsa npm-paketteihin ennen kuin latasi vaarantuneet versiot.

Kehittäjä Josh Junon oli se, joka joutui phishing-sähköpostin uhriksi, joka oli osa laajempaa kampanjaa, joka jäljiteli npm:ää. Hyökkääjät käyttivät siis phishing-sivustoa, joka matki npm:n kirjautumissivua varastaakseen hänen tunnistetietonsa. Heti kun hyökkääjät pääsivät sisään, he lukitsivat Junonin ulos muuttamalla hänen npm-tilinsä sähköpostiosoitteen.

“Hei, kyllä sain murrettua. Pahoittelut kaikille, todella noloa,” kirjoitti Junon HackerNewsissä vahvistaen tapauksen. Hän selitti ennen kuin tarkensi, että vain npm oli vaikuttanut:

“Näytti lailliselta ensisilmäyksellä. En tee tekosyitä, minulla oli vain pitkä viikko ja paniikkinen aamu, ja yritin vain poistaa jotain tehtävälistaltani. Tein virheen klikkaamalla linkkiä sen sijaan, että menisin suoraan sivustolle.”

Phishing-sähköposti tuli osoitteesta support [at] npmjs [dot] help ja käytti pelotustaktiikkaa saadakseen Junonin klikkaamaan linkkiä, joka ohjasi hänet phishing-sivustolle.

Nimitellen olevansa npm, hyökkääjät pyysivät häntä päivittämään kaksivaiheisen todennuksen (2FA) tunnistetietonsa väittäen olevansa osa “käynnissä olevaa sitoutumista tilin turvallisuuteen” ja että he pyytävät samaa kaikilta käyttäjiltä.

“Tietomme osoittavat, että viimeisestä 2FA-päivityksestäsi on kulunut yli 12 kuukautta,” ilmoitti phishing-sähköposti, lisäten, että ne, joilla on “vanhentuneet 2FA-tunnistetiedot, lukitaan tilapäisesti 10. syyskuuta 2025 alkaen estääkseen luvattoman pääsyn.”

Samaa sähköpostia käytettiin myös muiden pakettien ylläpitäjien ja kehittäjien kohdistamiseen.

Ottaen huomioon vaikuttavien pakettien laajan käyttö, tästä olisi voinut tulla merkittävä tapaus, jos sitä ei olisi käsitelty näin nopeasti.

Kuten Charlie Erickson Aikido Security -yrityksestä raportissaan totesi, lukemattomat verkkosivustot välttivät erittäin vakavaa vahinkoa tästä hyökkäyksestä, jossa npm-paketit sisälsivät koodinpätkän, joka suoritettaisiin verkkosivuston asiakaspuolella.

“Tämä haittaohjelma on pohjimmiltaan selainpohjainen sieppari, joka kaappaa sekä verkkoliikenteen että sovellus-API:t,” hän totesi hyökkäysanalyysissään. “Mikä tekee siitä vaarallisen, on että se toimii useilla tasoilla: muokaten verkkosivuilla näytettävää sisältöä, puuhaillen API-kutsuja ja manipuloiden sitä, mitä käyttäjien sovellukset uskovat allekirjoittavansa. Vaikka käyttöliittymä näyttäisi oikealta, taustalla oleva tapahtuma voidaan ohjata uudelleen.”

Haitallinen koodi suunniteltiin varastamaan kryptovaluuttoja. Hyökkääjä skannaa merkkijonoja kryptolompakon osoitteiden varalta, mikä asettaa kryptoon liittyviä sovelluksia käyttävät henkilöt riskialttiiksi.

Haittaohjelma toimi hiljaisesti selaimessa ilman käyttäjän tietämystä, kirjoittaen uudelleen lompakon osoitteita ja ohjaten varat hyökkääjän hallitsemiin tileihin. Se kaappaa ja manipuloi suoraan tapahtumia Bitcoinissa (BTC ), Ethereumissa (ETH ), Solanassa (SOL ), Tronissa (TRX ), Litecoinessa (LTC ) ja Bitcoin Cashissa (BCH ) vaarantuneessa järjestelmässä.

Tämän toteuttamiseksi haitallinen koodi seurasi selaimen sovellusohjelmointirajapintoja, kuten fetch, sekä lompakkorajapintoja, kuten window.ethereum.

Haitallinen koodi “sieppaa hiljaisesti kryptovaluutta- ja Web3-toiminnan selaimessa, manipuloi lompakon vuorovaikutuksia ja kirjoittaa maksukohteet uudelleen niin, että varat ja hyväksynnät ohjataan hyökkääjän hallitsemiin tileihin ilman käyttäjälle ilmeisiä merkkejä,” sanoi Erickson.

Kun se on valmis, haittaohjelma peittää jälkensä samalla pysyen taustalla siepaten mahdolliset tulevat tapahtumat uhrin verkossa.

Hyökkäyksen vakavuuden vuoksi Charles Guillemet, Ledgerin laitteistolompakon toimitusjohtaja, varoitti kryptokäyttäjiä olemaan varovaisia vahvistettaessa ketjutapahtumia. Vaikuttavat paketit, hän totesi julkaisussaan, on jo ladattu yli miljardi kertaa.

Laajamittainen toimitusketjuhyökkäys, jonka hän jakoi yhteisölle, kohdistuu kryptosovellusten lompakoihin haitallisen kuorman “hiljaisesti vaihtamalla kryptosaldot lennossa varojen varastamiseksi.”

“Jos käytät laitteistolompakkoa, kiinnitä huomiota jokaiseen tapahtumaan ennen allekirjoittamista, niin olet turvassa. Jos et käytä laitteistolompakkoa, pidättäydy tekemästä ketjutapahtumia toistaiseksi.”

– Guillemet

Sillä välin 0xngmi, DefiLlaman pseudonyymi perustaja, kryptoanalytiikka-alusta, kirjoitti X:ään jakaakseen, että “todellinen vaikutusalue on paljon pienempi kuin “kaikki verkkosivustot”, koska vain ne projektit voivat olla riskialttiita, jotka päivitettiin sen jälkeen, kun haittaohjelmalla saastutettu npm-paketti julkaistiin. Silti, “on turvallisempaa välttää kryptosivustojen käyttöä kunnes tämä rauhoittuu ja he puhdistavat huonot paketit,” hän lisäsi.

Lopulta hakkerit pystyivät varastamaan vain 50 dollaria arvosta kryptovaluuttaa tältä massiiviselta toimitusketjuhyökkäykseltä. 50 dollaria koostuu Etheristä ja joukosta meemikolikoita, kuten Brett ja Andy, muiden joukossa.

Kuitenkin se oli enemmänkin onnea kuin mitään muuta, kuten kryptotiedustelualusta Security Alliance totesi X:

“Tämä olisi voinut olla paljon pahempaa. Hiljaisesti käyttöönotettu takaportti, joka kohdistui kehittäjien koneisiin keskittyen pysyvyyteen, olisi voinut pysyä piilossa tiedossa olevasta ajasta.”

Sen jälkeen monet kryptosovellukset, kuten Aave, Uniswap, Ledger, Jupiter, MetaMask, Phantom, Blast ja muut, ovat ilmoittaneet käyttäjilleen, että ne ovat turvassa npm-hyökkäykseltä.

Vaikka hyökkäys epäonnistui, se on karu muistutus kehittäjille siitä, että äärimmäisen turvallisuuden takaamiseksi heidän on mentävä oman koodikantansa ulkopuolelle. Jopa ohjelmistoriippuvuudet, joihin on luotettu ja joita on laajasti käytetty, voivat myös vaarantua milloin tahansa.

Tässä koodausalustojen, kuten GitHubin ja npm:n, on myös tehtävä enemmän varmistaakseen laajasti käytettyjen pakettien turvallisuuden.

“Suosituimmat paketit tulisi vaatia todistusta siitä, että ne ovat peräisin luotettavasta alkuperästä, eivätkä vain satunnaisesti jostain internetin paikasta.”

– Eriksen

Koodivaraston vaarantuminen voi lopulta olla äärimmäisen tuhoisaa kehittäjille, jotka saattavat lopulta hylätä koko projektinsa tällaisen tapauksen seurauksena.

Tapaus on todiste siitä, kuinka yhteydessä ja haavoittuvainen nykypäivän ohjelmistoe kosysteemi on hyväksikäyttöön. Yksi vaarantunut tili voi antaa hyökkääjille valtavan ulottuvuuden, mikä tekee tärkeäksi toteuttaa parannettuja toimitusketjun turvallisuustoimenpiteitä jokaisessa kehitysprosessin vaiheessa.

Suojautuminen nopeasti kasvavaa haittaohjelmauhkia vastaan

Kun haittaohjelmauhat kasvavat ja hyökkäykset tulevat yhä kehittyneemmiksi ja kohdennetummiksi, on tärkeää, että käyttäjät ovat koulutettuja ja pysyvät jatkuvasti valppaina kaikilla alustoilla.

Haittaohjelma tai malware on itse asiassa yksi yleisimmistä kyberhyökkäystyypeistä. Tässä hyökkääjät kehittävät ohjelmakoodin tai tietokoneohjelman tarkoituksenaan päästä uhrin tietokoneelle tai aiheuttaa vahinkoa ilman, että uhri tietää joutuneensa vaarantuneeksi.

Joka vuosi tapahtuu miljardeja haittaohjelmahyökkäyksiä ympäri maailmaa kaikentyyppisillä laitteilla ja käyttöjärjestelmillä. Käyttämällä haittaohjelmia kyberrikolliset pitävät panttivankina paitsi laitteita myös koko yritysverkkoja.

Saavuttaessaan luvattoman pääsyn uhrin laitteisiin, hyökkääjät varastavat digitaalisia omaisuuksia ja arkaluonteisia tietoja, mukaan lukien kirjautumistiedot, luottokorttinumerot ja muut arvokkaat tiedot. Haittaohjelmahyökkäykset kohdistuvat yhä enemmän yrityksiin, koska yritykset omistavat merkittäviä määriä henkilökohtaisia tietoja, joita hakkerit voivat käyttää kiristykseen suurten rahasummien saamiseksi.

Data osoittaa, että enemmistö (59 %) organisaatioista oli joutunut tällaisen hyökkäyksen kohteeksi vuonna 2024. Myös pienemmät yritykset eivät ole turvassa, sillä 47 % niistä kärsi ransomware-hyökkäyksestä viime vuonna. Samaan aikaan keskimääräinen lunnaiden maksu nousi 500 %:iin, eli 2 miljoonaan dollariin tänä aikana.

Haittaohjelmahyökkäyksen keskimääräinen palautumiskustannus on myös noussut jopa 2,73 miljoonaan dollariin. Yksi suurimmista uhista, joita internet tällä hetkellä kohtaa, on haittaohjelma, joka voi ilmetä moninaisina muotoina ainoastaan tietokonejärjestelmien ja niiden käyttäjien vahingoittamiseksi.

Virukset, ransomware, troijat, madot, vakoiluohjelmat, mainosohjelmat ja kryptovarkaus ovat kaikki erilaisia haittaohjelmia. Kaikki nämä on suunniteltu saamaan luvaton pääsy verkkoon tai vahingoittamaan tietokonejärjestelmiä.

Kun tarkastellaan hyökkäysten perussyitä, suurin, 32 %, on hyökkääjien haavoittuvuuksien hyväksikäyttö, sitä seuraavat vaarantuneet tunnistetiedot (29 %) ja sitten haitalliset sähköpostit (23 %).

Nyt, miten yksi voi suojautua tältä jatkuvalta uhalta? Ensimmäinen ja yksinkertaisin askel on pitää tietokone ja ohjelmistot aina ajan tasalla. Lisäksi on kriittistä, ettet klikkaa mitä tahansa internetissä. Erityisesti kryptokäyttäjänä on oltava epäluuloinen linkkejä kohtaan eikä ladata mitään, mistä ei ole varma.

Sama pätee kaikkiin sähköpostiliitteisiin. Ole varovainen avaten epäilyttäviä sähköposteja ja pyri pitämään tiedostojen jakaminen mahdollisimman vähäisenä. On viisaampaa, että laitteellesi on asennettu virustorjuntaohjelmisto.

Vaikka väistämättömiä, organisaatiot voivat myös valmistautua haittaohjelmahyökkäyksiin vahvistamalla puolustuksiaan. Yksinkertaisimmat tavat tehdä tämä ovat vahvojen salasanojen, monivaiheisen todennuksen ja VPN:ien käyttö, joita yksilötkin voivat käyttää suojautuakseen tehokkaammin.

Organisaatioiden on jatkuvasti valvottava laitteita epäilyttävän toiminnan merkeistä, arvioitava mahdolliset haavoittuvuudet ja suoritettava tunkeutumistestausta. Samalla arkaluonteisten tietojen varmuuskopiointi verkosta irrotetuille levyille auttaa palautumisessa haittaohjelmahyökkäyksistä.

Työntekijöiden on koulutettava tunnistamaan tällaiset hyökkäykset paremmin ja reagoimaan nopeasti, laatimalla tapahtumavaste suunnitelmia ja tietämällä, kenelle ottaa yhteyttä epäiltyä haittaohjelmauhkia vastaan.

Hyödyntämällä nollaluottamus-verkkoarkkitehtuuria yritykset voivat varmistaa, ettei kukaan pääse käsiksi tietoihin tai omaisuuksiin, joihin heidän ei pitäisi päästä. Nollaluottamuksessa käyttäjiä ei koskaan luoteta, vaan ne tarkistetaan aina.

Nykyisessä hyperdigitaalisessa elämässä nämä käytännöt voivat auttaa suojaamaan itseäsi yhä enemmän toisiinsa kytkeytyvän maailman vaaroilta.

Kun suojautuu haitallisilta paketeilta, yleiset haittaohjelmien turvallisuussuositukset pätevät myös npm-hyökkäyksiin, mutta tietysti on olemassa lisä- ja erityisiä varotoimia, jotka on otettava huomioon, koska ekosysteemi on erityisen haavoittuva avoimen luonteensa, pienten pakettien laajan uudelleenkäytön ja suurten riippuvuuspuiden vuoksi.

Suojautuaksesi tästä vakavasta uhkasta, sinun on aina tarkistettava kaksinkertaisesti, että paketti on luotettava ennen sen asentamista. Paketin eheyden tarkistaminen varmistaa, että riippuvuuspuu ei ole manipuloitu.

Kun etsit merkkejä laittomuudesta, paketin lähteen ja omistajuuden lisäksi tarkastele ylläpitäjien tekemiä muutoksia. Saatat myös haluta tutkia, mitä paketit tekevät ja miksi niitä tarvitaan.

Käytä turvallisuustyökaluja, jotka valvovat jatkuvasti uusia uhkia ja tarjoavat toteuttavia neuvoja tilanteen lieventämiseksi. npm audit -tarkistuksia voidaan suorittaa projektin riippuvuuksien tunnettuihin haavoittuvuuksiin. Automaattisten turvallisuusskannausten toteuttaminen ennen käyttöönottoa varmistaa, että tuotantoon pääsee vain tarkastettu ja hyväksytty koodi.

Nyt, suojautuaksesi viimeisimmältä haittaohjelmahyökkäykseltä, sinun on kiinnitettävä vaikuttavat paketit niiden turvallisimpiin versioihin ennen vaarantumista package.json:n overrides-ominaisuuden kautta.

Suorita npm audit tai käytä ohjelmistokompositioanalyysi (SCA) -työkaluja tarkistaaksesi vaikuttavat versiot riippuvuuspussassasi. Seuraa mahdollisia vaarantumisen indikaattoreita (IoC) tarkistamalla rakennuslokit, kehittäjäympäristöt ja lähtevän liikenteen epäilyttävä toiminta.

Klikkaa tästä saadaksesi luettelon viidestä yrityksestä, jotka taistelivat takaisin kyberhyökkäyksiä vastaan.

Lopulliset ajatukset: Avoimen lähdekoodin riippuvuuksien vahvistaminen

Uhkia internetissä nousevat jatkuvasti ja ne muuttuvat yhä kehittyneemmiksi.

Kun hyökkääjät kääntyvät uusiin hyökkäysvektoreihin ja kohdistavat aliresursoituihin projekteihin, on yhä tärkeämpää, että kehittäjät, yritykset ja käyttäjät eivät odota uhan ilmenemistä ennen toimimista, vaan ryhtyvät ennakoiviin toimenpiteisiin, koska yksi heikko lenkki voi kaataa koko järjestelmän.

Pysyessämme ajan tasalla uusista uhista ja jatkuvasti tarkastamalla ohjelmistotoimitusketjuja sekä valvomalla uhkia, voimme todella suojata itsemme jatkuvasti kehittyviltä kyberriskeiltä.

Klikkaa tästä saadaksesi luettelon viidestä julkisesta yrityksestä, jotka maksoivat kyberhyökkääjille.