Op 8 september zijn meerdere populaire npm-pakketten gecompromitteerd na een succesvolle phishingaanval op een maintainer-account. Onder de getroffen libraries bevinden zich Chalk en Debug, samen goed voor miljarden wekelijkse downloads.

Het incident geldt direct als een van de ernstigste supply-chain-aanvallen in de geschiedenis van npm. In totaal zijn pakketten getroffen die samen meer dan 2 miljard wekelijkse downloads vertegenwoordigen. Onderzoekers stellen dat dit waarschijnlijk de grootste supply-chain-aanval ooit is binnen het open-source ecosysteem.

De aanval begon toen de ontwikkelaar met de gebruikersnaam qix in de val liep van een phishingmail, verstuurd vanaf een domein dat sterk leek op het officiële npm-domein. Hiermee verkreeg de aanvaller toegang tot het account en publiceerde vervolgens nieuwe versies van in totaal achttien pakketten.

In deze versies was kwaadaardige code verstopt die gericht is op cryptowallets in browser-omgevingen. Zodra de code detecteert dat een applicatie met window\.ethereum werkt, onderschept het de interactie met de wallet en kan het transacties of goedkeuringen omleiden naar door de aanvaller gecontroleerde adressen.

De impact van de aanval is aanzienlijk. Chalk en Debug worden in talloze frameworks en libraries gebruikt, waardoor indirect ook projecten geraakt worden die deze pakketten niet bewust hebben geïnstalleerd. Projecten die automatisch de nieuwste versies ophalen, lopen het grootste risico. Binnen een uur na ontdekking zijn de malafide versies deels verwijderd uit de npm-registry, maar tegen die tijd kunnen al duizenden installaties besmet zijn geraakt.

Detectieregels en tooling beschikbaar

Securitybedrijven zoals Aikido, Endor Labs en Semgrep hebben direct detectieregels en tooling beschikbaar gesteld om geïnfecteerde versies op te sporen. Ontwikkelaars krijgen het dringende advies om te downgraden naar versies die vóór 8 september 2025 zijn gepubliceerd, lockfiles volledig te verwijderen en dependencies opnieuw te installeren, hun codebases te scannen met Software Composition Analysis-tools of npm audit, en npm-accounts extra te beveiligen met multi-factor authenticatie of hardware tokens om vergelijkbare aanvallen te voorkomen.

Dit incident benadrukt opnieuw hoe kwetsbaar de software supply chain is. Eén enkel gecompromitteerd account kan leiden tot wereldwijde verspreiding van malafide code. De aanval op Chalk en Debug toont dat niet alleen obscure libraries doelwit zijn, maar ook de fundamenten waarop talloze projecten en bedrijven dagelijks vertrouwen.