Nordkoreanske hackere distribuerer 26 ondsinnede npm-pakker

En ny leverandørkjede-trussel setter utviklere i beredskap. Sikkerhetsforskere advarer om at nordkoreanske hackere har lastet opp 26 ondsinnede pakker til npm-registeret. Målet er å infisere utviklermaskiner og stjele sensitiv informasjon.

GoPlus 中文社区发推提醒，朝鲜黑客向 npm 注册表发布了一组 26 个恶意软件包，这些恶意软件包都附带一个安装脚本（install.js），该脚本会在软件包安装过程中自动执行，进而运行位于“vendor/scrypt-js/version.js”中的恶意代码，…

— 吴说区块链 (@wublockchain12) March 3, 2026

Advarselen, delt av GoPlus-samfunnet 3. mars, knytter kampanjen til den kjente hackergruppen «Famous Chollima». Ifølge rapporten skjuler pakkene en fjernstyrt trojaner (RAT) som aktiveres under installasjon. Hendelsen viser økende risiko i økosystemet for åpen kildekode. Særlig for Web3- og kryptoutviklere.

Ondsinnede pakker skjuler seg i det åpne

Forskere opplyser at angriperne publiserte 26 falske pakker som etterligner legitime utviklerverktøy. Spesielt gjelder det linting- og verktøybiblioteker. Hver pakke inneholder et install.js-skript som kjører automatisk når pakken installeres. Når det utløses, eksekverer skriptet skjult kode i «vendor/scrypt-js/version.js». Koden laster i det stille ned en fjernstyrt trojaner fra en ondsinnet URL.

Siden npm-installasjoner ofte kjører automatisk i utviklingsmiljøer, kan mange brukere ikke oppdage infeksjonen. Sikkerhetsanalytikere peker på at metoden er effektiv fordi den misbruker normale arbeidsflyter for utviklere. Kort sagt leveres skadevaren forkledd som rutinemessige verktøy.

Hva kan skadevaren gjøre?

Den innebygde RAT-en gir angriperne omfattende tilgang til infiserte systemer. Ifølge GoPlus-varslingen kan skadevaren utføre flere farlige handlinger. Den kan loggføre tastetrykk, stjele data fra utklippstavlen og samle inn nettleserlegitimasjon. Den skanner også systemer med TruffleHog for å finne eksponerte hemmeligheter. I mer alvorlige tilfeller forsøker den å stjele Git-repositorier og SSH-nøkler. For kryptoutviklere er risikoen enda høyere. Stjålne nøkler eller legitimasjon kan føre direkte til kompromitterte lommebøker eller prosjekter. Derfor vurderer sikkerhetsteam kampanjen som svært alvorlig.

Koblinger til Famous Chollima-gruppen

Etterforskere har knyttet aktiviteten til den nordkoreanske hackeroperasjonen kjent som Famous Chollima. Gruppen har blitt sporet av sikkerhetsselskaper siden minst 2018. Den har en historikk med å målrette utviklere, kryptoprosjekter og finansplattformer.

Nyere analyser tyder på at kampanjen benytter avanserte tilsløringsteknikker. Enkelte rapporter nevner steganografiske metoder som skjuler kommando- og kontroll-data i tilsynelatende uskyldig tekst. Skadevarens infrastruktur ser også ut til å være distribuert over flere hostingtjenester, noe som gjør nedstengning vanskeligere. Dette mønsteret samsvarer med tidligere nordkoreanske operasjoner. De har ofte fokusert på langsiktig infiltrasjon fremfor raske angrep.

Utviklere oppfordres til å være årvåkne

Sikkerhetseksperter oppfordrer utviklere til å verifisere pakkekilder før de installerer avhengigheter. Selv små prosjekter kan bli inngangsporter til større leverandørkjede-brudd. GoPlus advarte spesifikt brukere mot å installere de flaggede pakkene og anbefalte en grundig gjennomgang av avhengighetstrær. Team oppfordres også til å aktivere lockfiler, revisjonsverktøy og kjøretidsovervåking.

Hendelsen er nok en påminnelse om at økosystemer for åpen kildekode fortsatt er et hovedmål for statstilknyttede hackere. Etter hvert som Web3- og kryptoutvikling vokser, øker også innsatsen. For øyeblikket sier eksperter at grunnleggende sikkerhetshygiene, kontroll av pakker og begrenset tillit fortsatt er det beste forsvaret.