Onderzoekers van Socket slaan alarm over een grote supply chain aanval die honderden GitHub repositories treft. Volgens het beveiligingsbedrijf bevatten meer dan 700 repositories kwaadaardige scripts die ongemerkt malware installeren zodra ontwikkelaars dependencies downloaden. De aanval raakt zowel Node.js projecten als populaire PHP pakketten op Packagist.
Uit onderzoek blijkt dat de aanvallers een verborgen postinstall script toevoegen aan package.json bestanden. Zodra een ontwikkelaar npm install of een vergelijkbare dependency installatie uitvoert, downloadt het script automatisch een extern Linux bestand vanaf GitHub. Daarna slaat het de malware op als /tmp/.sshd en draait het proces stilletjes op de achtergrond.
Populaire Laravel templates getroffen
Volgens Socket zijn minstens acht PHP pakketten op Packagist bevestigd als geรฏnfecteerd. Opvallend genoeg verstoppen de aanvallers de schadelijke code niet in composer.json, maar juist in package.json. Daardoor kijken veel PHP ontwikkelaars er eenvoudig overheen tijdens code reviews.
De grootste risicoโs liggen bij de populaire Laravel starter kits devdojo/wave en devdojo/genesis. Vooral Wave trekt veel aandacht met ongeveer 6.400 GitHub sterren. Genesis noteert meer dan 9.100 installaties op Packagist.
Ontwikkelaars die deze templates installeren, voeren het kwaadaardige script direct uit tijdens het installeren van dependencies. Volgens Socket downloaden de scripts vervolgens een bestand genaamd gvfsd-network vanaf een GitHub Releases pagina.
Malware verstopt zich als systeemproces
De aanval gebruikt meerdere technieken om detectie te vermijden. Zo schakelt het script TLS verificatie uit via curl -k, verbergt het foutmeldingen met 2>/dev/null en gebruikt het een verborgen bestandsnaam die lijkt op een normaal Linux proces.
Het kwaadaardige bestand wordt opgeslagen als /tmp/.sshd, wat sterk lijkt op een legitieme SSH daemon. Daarna maakt het script het bestand uitvoerbaar met chmod en start het direct op de achtergrond.
Onderzoekers koppelen de aanval aan het GitHub account parikhpreyash4 en de repository systemd-network-helper-aa5c751f. Socket meldt dat de tweede payload inmiddels offline is gehaald, maar dat de eerste installatiefase al voldoende bewijs levert voor een actieve malwarecampagne.
Aanval verspreidt zich ook via GitHub Actions
De onderzoekers ontdekken daarnaast dat dezelfde payload ook verschijnt in GitHub Actions workflows. In meerdere repositories voegen aanvallers een valse stap toe onder de naam โDependency Cache Syncโ. Daarmee kunnen niet alleen ontwikkelaarsmachines besmet raken, maar ook CI/CD servers van bedrijven.
Packagist verwijdert de besmette pakketten inmiddels, maar volgens Socket kunnen sommige branch versies zoals dev-main, dev-master en 3.x-dev opnieuw geรฏnfecteerd raken zolang de originele repositories niet volledig opgeschoond zijn.
Beveiligingsexperts adviseren ontwikkelaars daarom om niet alleen composer.json te controleren, maar ook package.json bestanden en GitHub workflow scripts grondig te inspecteren. De zaak past binnen bredere zorgen over aanvallen via supply chain en digitale beveiliging.
Volg ons op Google Nieuws en blijf altijd op de hoogte van het laatste crypto nieuws.
Claim 10 euro gratis Bitcoin
Wij mogen in samenwerking met Bitvavo, de grootste exchange van Nederland, maar liefst 10 euro aan Bitcoin of een andere crypto weggeven aan onze bezoekers. Ook mag je tot โฌ10.000 commissievrij handelen binnen 7 dagen na je registratie.
Begin vandaag nog jouw avontuur met 10 euro gratis Bitcoin (hiervoor moet minimaal 10 euro gestort worden) en maak een account aan via onderstaande knop. De voorwaarden voor de actie vind je op de actiepagina.