Uwaga na popularne repozytorium JavaScript. Milion pobrań tygodniowo

Cyberprzestępcy po raz kolejny skutecznie zaatakowali jedno z najważniejszych źródeł oprogramowania open source – repozytorium NPM. Tym razem ofiarą padły powszechnie używane pakiety powiązane z biblioteką Gluestack @react-native-aria, które łącznie notują ponad milion pobrań tygodniowo.

Jak donosi Bleeping Computer, 6 czerwca 2025 r. w godzinach popołudniowych w systemie NPM pojawiła się nowa, zainfekowana wersja pakietu @react-native-aria/focus. W ciągu zaledwie 48 godzin zainfekowaniu uległo aż 17 z 20 pakietów wchodzących w skład biblioteki Gluestack – w tym tak popularne moduły jak interactions, utils, focus, button czy checkbox.

Złośliwe oprogramowanie zostało sprytnie ukryte — osadzono je na końcu plików źródłowych, używając tysięcy spacji, co uniemożliwiało jego szybkie wykrycie w internetowym podglądzie kodu NPM. Według analityków z firmy Aikido Security, jest to zdalnie sterowany trojan, który umożliwia atakującym pełną kontrolę nad zainfekowanymi środowiskami.

Trojan klasy „Remote Access Tool”

Kod trojana pozwala na:

• zmianę katalogu roboczego,

• kopiowanie i pobieranie plików z określonych ścieżek,

• przekierowywanie katalogów,

• wykonywanie komend powłoki poprzez child_process.exec().

Co więcej, malware podszywa się pod instalacje Pythona, co pozwala mu przechwytywać polecenia python i pip, uruchamiając zamiast tego złośliwe skrypty. Eksperci twierdzą, że schemat działania trojana przypomina wcześniejszy atak z maja 2025 r., również zidentyfikowany przez Aikido, który dotyczył pakietu rand-user-agent.

Gluestack reaguje z opóźnieniem

Choć firma Gluestack została powiadomiona o incydencie, początkowo nie podjęła natychmiastowych działań. Dopiero po kilku godzinach kontaktu udało się zablokować token dostępu wykorzystywany przez atakujących oraz oznaczyć naruszone wersje pakietów jako przestarzałe.

Twórca pakietów na GitHubie napisał:

„Nie ma możliwości naprawienia zainfekowanych wersji ze względu na zależności. Tymczasowo wycofałem wszystkie zainfekowane wydania i ustawiłem najnowszy tag na starszą, bezpieczną wersję.”

To jednak rozwiązanie doraźne, a realna skala szkód jest trudna do oszacowania – infekcja mogła dotknąć setki tysięcy projektów i środowisk deweloperskich.

Systemowy problem z bezpieczeństwem NPM

Zdaniem Anastasii Melnikovej, dyrektor ds. bezpieczeństwa informacji w firmie SEQ, to kolejny dowód na głębokie strukturalne luki w bezpieczeństwie łańcucha dostaw oprogramowania:

„Brakuje polityk i mechanizmów, które umożliwiłyby skuteczne zapobieganie takim atakom. Repozytorium NPM nie pozwala na trwałe usuwanie złośliwych wersji, co sprawia, że deweloperzy muszą ręcznie cofać się do bezpiecznych wydań. To absurd.”

Ekspertka wskazuje również, że rozwiązaniem mogłyby być podpisy cyfrowe, weryfikacja integralności oraz ograniczenia uprawnień dla kont publikujących, jednak takie środki nadal nie są standardem w większości repozytoriów open source.

Zagrożenie nie maleje – co dalej?

Ostatni incydent jest nie tylko ostrzeżeniem, ale i zapowiedzią przyszłych problemów. Coraz bardziej złożone zależności w projektach open source sprawiają, że nawet niewielka modyfikacja jednego komponentu może mieć katastrofalne skutki dla tysięcy aplikacji i organizacji na całym świecie.

Z perspektywy użytkowników i zespołów IT najważniejsze działania to:

• szybka identyfikacja i aktualizacja zależności do bezpiecznych wersji,

• monitoring ruchu sieciowego pod kątem nieautoryzowanej aktywności,

• oraz wdrożenie narzędzi typu SBOM (Software Bill of Materials), które pozwalają śledzić każdy komponent i jego pochodzenie.