Sari la continut
marți, 14 iulie 2026
TechInfos.ro

Laboratorul stirilor tech

Cyber

Pericolul ascuns în npm: pachetul jscrambler infectează mașinile la instalare

O versiune compromisă a pachetului jscrambler pentru Node.js fură date prin instalarea unui infostealer nativ pe Windows, macOS și Linux.

TI 12 iulie 2026 4 min read
Pe scurt
  • O versiune compromisă a pachetului jscrambler pentru Node.js fură date prin instalarea unui infostealer nativ pe Windows, macOS și Linux.
Continua analiza

O nouă amenințare de tip supply chain lovește ecosistemul Node.js. Pachetul npm jscrambler, utilizat pentru ofuscarea codului JavaScript, a fost compromis în versiunea 8.14.0. Simpla instalare a acestuia lansează un infostealer nativ, capabil să fure date sensibile de pe mașina victimei. Incidentul, semnalat de platforma de securitate Socket la doar șase minute după publicare, ridică semne de întrebare serioase asupra siguranței lanțului de aprovizionare software.

Cum funcționează atacul

Versiunea 8.14.0 a pachetului jscrambler include un script preinstall care, în momentul instalării (npm install), descarcă și execută un fișier binar nativ. Acest binar este construit separat pentru fiecare sistem de operare: Windows, macOS și Linux. Odată executat, acționează ca un infostealer, colectând parole, token-uri de acces, chei criptografice și alte informații critice, pe care le transmite către un server controlat de atacatori.

De ce este periculos

Atacurile de tip supply chain sunt deosebit de periculoase deoarece exploatează încrederea pe care dezvoltatorii o au în dependențele lor. jscrambler este un pachet cu mii de descărcări săptămânale, folosit adesea în proiecte enterprise care necesită protejarea codului sursă. Odată infectată o stație de dezvoltare, atacatorii pot accesa repository-uri interne, chei de semnare, variabile de mediu și chiar baze de date de producție.

Mai mult, infostealer-ul este nativ, ceea ce înseamnă că este mult mai greu de detectat decât un script Node.js tipic. Rulează la nivel de sistem și poate rămâne ascuns o perioadă îndelungată, exfiltrând date fără a alerta antivirusurile clasice.

Cum au reacționat autoritățile și comunitatea

Platforma Socket, specializată în detectarea amenințărilor în pachete open-source, a identificat versiunea malitioasă la doar 6 minute după publicare. Echipa a alertat imediat echipa npm și a emis un advisory public. Deși pachetul a fost deja retras din registru, oricine a instalat versiunea 8.14.0 între timp este potențial compromis. Se recomandă verificarea imediată a fișierelor de log și rularea unui scan complet de securitate.

Ce înseamnă pentru tine

Dacă ești dezvoltator sau administrator de sisteme care folosește pachete npm, acest incident subliniază câteva măsuri practice:

  • Verifică versiunile instalate – Rulează npm ls jscrambler și asigură-te că nu ai versiunea 8.14.0. Dacă da, dezinstalează imediat și restaurează dintr-un backup curat.
  • Activează auditarea automată – Platforme precum Socket sau GitHub Dependabot pot detecta comportamente suspecte la instalare, nu doar vulnerabilități cunoscute.
  • Limitează privilegiile – Rulează instalările npm într-un mediu izolat sau cu utilizator fără drepturi administrative, pentru a reduce impactul unui eventual atac.

Pe termen lung, este esențial să tratăm fiecare dependență ca pe o potențială amenințare și să adoptăm un mindset de „încredere zero” în lanțul de aprovizionare software.

Surse

Ai ajuns la final
Tech Brief

Cele mai importante stiri tech, intr-un format scurt.

Primeste sinteza zilnica AI, cyber si gadgeturi direct in inbox.