Grote supply chain aanval treft meer dan 700 GitHub repositories
Onderzoekers van Socket slaan alarm over een grote supply chain aanval die honderden GitHub repositories treft. Volgens het beveiligingsbedrijf bevatten meer dan 700 repositories kwaadaardige scripts die ongemerkt malware installeren zodra ontwikkelaars dependencies downloaden. De aanval raakt zowel Node.js projecten als populaire PHP pakketten op Packagist.
Uit onderzoek blijkt dat de aanvallers een verborgen postinstall script toevoegen aan package.json bestanden. Zodra een ontwikkelaar npm install of een vergelijkbare dependency installatie uitvoert, downloadt het script automatisch een extern Linux bestand vanaf GitHub. Daarna slaat het de malware op als /tmp/.sshd en draait het proces stilletjes op de achtergrond.
Populaire Laravel templates getroffen
Volgens Socket zijn minstens acht PHP pakketten op Packagist bevestigd als geïnfecteerd. Opvallend genoeg verstoppen de aanvallers de schadelijke code niet in composer.json, maar juist in package.json. Daardoor kijken veel PHP ontwikkelaars er eenvoudig overheen tijdens code reviews.
De grootste risico’s liggen bij de populaire Laravel starter kits devdojo/wave en devdojo/genesis. Vooral Wave trekt veel aandacht met ongeveer 6.400 GitHub sterren. Genesis noteert meer dan 9.100 installaties op Packagist.
Ontwikkelaars die deze templates installeren, voeren het kwaadaardige script direct uit tijdens het installeren van dependencies. Volgens Socket downloaden de scripts vervolgens een bestand genaamd gvfsd-network vanaf een GitHub Releases pagina.
‼️🚨 BREAKING: Another supply chain attack. 700+ GitHub repositories flagged, including PHP and Node.js projects. The malicious script was planted across all of them. When a developer installs the package, the script silently downloads a Linux file from GitHub, hides it under the…
Malware verstopt zich als systeemproces
De aanval gebruikt meerdere technieken om detectie te vermijden. Zo schakelt het script TLS verificatie uit via curl -k, verbergt het foutmeldingen met 2>/dev/null en gebruikt het een verborgen bestandsnaam die lijkt op een normaal Linux proces.
Het kwaadaardige bestand wordt opgeslagen als /tmp/.sshd, wat sterk lijkt op een legitieme SSH daemon. Daarna maakt het script het bestand uitvoerbaar met chmod en start het direct op de achtergrond.
Onderzoekers koppelen de aanval aan het GitHub account parikhpreyash4 en de repository systemd-network-helper-aa5c751f. Socket meldt dat de tweede payload inmiddels offline is gehaald, maar dat de eerste installatiefase al voldoende bewijs levert voor een actieve malwarecampagne.
Aanval verspreidt zich ook via GitHub Actions
De onderzoekers ontdekken daarnaast dat dezelfde payload ook verschijnt in GitHub Actions workflows. In meerdere repositories voegen aanvallers een valse stap toe onder de naam “Dependency Cache Sync”. Daarmee kunnen niet alleen ontwikkelaarsmachines besmet raken, maar ook CI/CD servers van bedrijven.
Packagist verwijdert de besmette pakketten inmiddels, maar volgens Socket kunnen sommige branch versies zoals dev-main, dev-master en 3.x-dev opnieuw geïnfecteerd raken zolang de originele repositories niet volledig opgeschoond zijn.
Beveiligingsexperts adviseren ontwikkelaars daarom om niet alleen composer.json te controleren, maar ook package.json bestanden en GitHub workflow scripts grondig te inspecteren. De zaak past binnen bredere zorgen over aanvallen via supply chain en digitale beveiliging.
Geen financieel advies. Blockchain Stories biedt uitsluitend educatieve en informatieve content. Crypto assets zijn zeer volatiel en je kunt je volledige inleg verliezen. Doe altijd je eigen onderzoek. Lees onze volledige disclaimer.
Affiliate vermelding. Sommige links op deze site zijn partner/affiliate links. Als je je via zo'n link aanmeldt bij een partner, ontvangen wij mogelijk een commissie, zonder extra kosten voor jou. Dit beïnvloedt nooit onze berichtgeving. Lees onze redactionele richtlijnen.
Meer Hacks & Aanvallen
Meer nieuws ›
