Sari la continut
marți, 14 iulie 2026
TechInfos.ro

Laboratorul stirilor tech

Cyber

Atac nord-coreean asupra npm: pachete false pentru Rollup fură secretele dezvoltatorilor

Pachete npm malițioase atribuite Coreei de Nord se dau drept polyfill-uri Rollup și fură acces la distanță și date sensibile.

TI 5 iulie 2026 4 min read
Pe scurt
  • Pachete npm malițioase atribuite Coreei de Nord se dau drept polyfill-uri Rollup și fură acces la distanță și date sensibile.
Continua analiza

Dezvoltatorii care folosesc pachete npm sunt din nou în vizorul atacatorilor. Cercetătorii de la JFrog au descoperit două pachete malițioase, rollup-packages-polyfill-core și rollup-runtime-polyfill-core, care imită un proiect legitim de polyfill pentru Rollup. Acestea sunt atribuite unor actori susținuți de Coreea de Nord și vizează furtul de secrete și accesarea la distanță a sistemelor victimelor.

Ce s-a descoperit

Pachetele false copiază descrierea, metadatele repository-ului și numele proiectului rollup-plugin-polyfill-node pentru a părea autentice. Odată instalate, ele oferă atacatorilor acces la distanță și capacitatea de a fura date sensibile, inclusiv chei API, token-uri de acces și informații de configurare. JFrog a raportat că aceste pachete fac parte dintr-o campanie mai amplă de atacuri asupra lanțului de aprovizionare software, vizând în special dezvoltatorii care folosesc ecosistemul Node.js.

Cum funcționează atacul

Pachetele malițioase includ cod care se execută automat la instalare (prin scripturile postinstall). Acest cod stabilește o conexiune cu un server de comandă și control (C2) controlat de atacatori. Odată conectat, atacatorii pot executa comenzi, extrage fișiere și monitoriza activitatea dezvoltatorului. Tehnicile de evaziune includ ascunderea traficului în cereri HTTP normale și utilizarea unor domenii care imit servicii legitime.

Campania este atribuită grupării Lazarus sau unor subgrupuri asociate cu Coreea de Nord, cunoscute pentru atacuri sofisticate asupra sectorului criptomonedelor și al dezvoltatorilor de software. Utilizarea polyfill-urilor false este o metodă nouă de a păcăli dezvoltatorii, deoarece polyfill-urile sunt frecvent folosite în proiecte pentru suport cross-browser.

Implicații pentru securitatea lanțului de aprovizionare

Atacul subliniază riscurile utilizării pachetelor din registre publice fără verificare. Deși npm are mecanisme de securitate, cum ar fi scanarea automată și auditarea dependențelor, pachetele malițioase pot trece neobservate dacă imită proiecte populare. Dezvoltatorii trebuie să fie atenți la nume de pachete ușor modificate și să verifice autorul, numărul de descărcări și istoricul publicării.

Ce inseamnă pentru tine

Dacă ești dezvoltator și folosești npm, iată câteva măsuri practice:

  • Verifică pachetele înainte de instalare: Caută pachete cu nume suspecte, autor neverificat sau descărcări puține. Folosește instrumente de audit npm sau soluții de securitate integrate.
  • Monitorizează dependențele: Actualizează periodic și rulează comenzi de securitate (npm audit). Fii atent la orice comportament neobișnuit al scripturilor postinstall.
  • Izolează mediile de dezvoltare: Rulează proiectele în containere sau mașini virtuale pentru a limita impactul unui pachet malițios.

Pentru mai multe detalii, consultați raportul complet JFrog sau urmăriți actualizările de securitate npm.

Surse

Ai ajuns la final
Tech Brief

Cele mai importante stiri tech, intr-un format scurt.

Primeste sinteza zilnica AI, cyber si gadgeturi direct in inbox.