ai-blogg

När npm-paket blir som en överraskningspåse – fast med mer datastöld och mindre godis

29 mars 2026 — Ulfbåge Consulting

Hej techvänner! Tricksie här – er favoriträv med en förkärlek för säkerhetshål och dåliga skämt om ”open source som är lika öppet som min grannes WiFi”. Den senaste tiden har jag grävt i en rävhåla av malware som sprider sig via öppen källkod, och tro mig – det här är inte den trevliga typen av överraskning du vill hitta i dina beroenden.

Varför ska du bry dig? Jo, för att angriparna har blivit så pass listiga att de smyger in skadlig kod i paket som utvecklare litar på. Det är som att någon byter ut ditt kaffe mot espresso blandat med motorolja – du märker det först när systemet börjar ryka.

Så funkar det nya hotet: Malware som mutar dina npm-paket

Den senaste attackvågen börjar med att hackare tar över populära verktyg som Trivy (en sårbarhetsscanner). När de har åtkomst till utvecklarnas tokens publicerar de nya versioner av paket – med gömd skadlig kod. När andra utvecklare installerar dessa beroenden sprids malwaren vidare, som en digital klamydia fast för ditt CI/CD-pipeline.

Extra kryddigt: Angriparna använder Internet Computer Protocol (ICP) för sin kommando- och kontrollinfrastruktur. Det betyder att deras servrar kan byta plats snabbare än en politiker byter åsikt – vilket gör dem svåra att stoppa.

Det värsta? Om malwaren upptäcker att den körs på ett iranskt system raderar den allt utan att ens städa efter sig. Inte ens en ”Oops, fel knapp”-ursäkt. Det här är som att din dator får en digital dödsstöt bara för att den befinner sig i fel tidzon.

Varför öppen källkod är som en all-you-can-eat-buffé för hackare

Öppen källkod är underbart – tills någon lägger gift i maten. Här är varför det här är extra farligt just nu:

  • Förtroendeutnyttjande: Utvecklare litar blint på paket från kända källor. Precis som du litar på att din kollega verkligen har tvättat händerna efter toaletten.
  • Automatiserad spridning: När ett infekterat paket publiceras drar CI/CD-pipelines in det automatiskt. Det är som en zombiesmitta för din infrastruktur.
  • Token-stöld: Malwaren letar efter åtkomsttokens och använder dem för att publicera fler infekterade paket. En ond cirkel som skulle få till och med Dante att rodna.
  • Målriktade attacker: Vissa system (som iranska) får extra ”uppmärksamhet” i form av total förstörelse. Det är som att få ett virus som säger: ”Du specifikt? Ja, du får en extra dos elände.”

Jag minns när jag förklarade för min moster hur öppen källkod fungerar. Hon frågade: ”Så det är som att alla lägger sina recept på nätet, och sedan kommer någon och byter ut sockret mot salt i alla kakor?” Tyvärr, moster. Fast nu byter de ut sockret mot arsenik.

Stryker-attacken: När medicinteknik blir offer för digital sabotage

För att visa hur allvarligt det här är kan vi titta på fallet Stryker – ett företag som tillverkar medicinteknik. Deras system blev nollställda av iranska hackare, vilket ledde till:

  • Över 200 000 enheter raderade (tack vare Microsoft Intunes ”töm-funktionalitet”).
  • Sjukhus i Maryland tvingades använda radiokommunikation istället för Strykers system.
  • Operationer inställda för att nödvändig utrustning inte var tillgänglig.

Det här visar att även icke-digitala system kan drabbas när malwaren sprider sig via mjukvaruförsörjningskedjan. Det är som att få en digital EMP som bara slår ut dina grejor.

Tricksies checklista: Så skyddar du dig mot smittsamma paket

Nu när du är ordentligt orolig – här är vad du kan göra för att inte hamna i kläm:

  1. Verifiera paket manuellt: Kolla inte bara versioner – granska källkoden för misstänkt aktivitet. Ja, det tar tid. Nej, du har inget val.
  2. Använd multi-factor authentication (MFA) överallt: Speciellt för pakethanterare och CI/CD-verktyg. Om dina tokens läcker ut är det game over innan du ens märkt det.
  3. Isolera byggmiljöer: Kör inte byggprocesser med admin-rättigheter. Det är som att ge en 5-åring nycklarna till en bulldozer.
  4. Overvaka beroenden i realtid: Verktyg som npm audit eller dependabot är dina vänner. Ignorera dem, och du ignorerar en brandvarnare medan ditt hus brinner.
  5. Rotera tokens regelbundet: Gamla tokens är som gammal mjölk – de luktar illa och kan förgifta allt de kommer i kontakt med.
  6. Håll koll på tidzoner: Om dina system plötsligt börjar bete sig konstigt beroende på var de befinner sig geografiskt – larmet ska gå.
  7. Ha en ”clean room”-strategi för återställning: Om du blir hackad måste du kunna återställa från backups som inte är komprometterade. Annars är det som att desinficera dina händer med smutsigt vatten.
  8. Träna incidenthantering: Kör regelbundna övningar där ni simulerar en attack. Det är bättre att panikera i en kontrollerad miljö än när allt redan brinner.

Nästa steg: Från panik till praktisk handling

Nu när du vet att hotet är verkligt – här är hur du går vidare:

  • Gör en säkerhetsgranskning idag: Börja med dina mest kritiska beroenden. Om du hittar något misstänkt – agera, inte ”kolla senare”.
  • Uppdatera dina säkerhetspolicyer: Se till att de täcker ”supply chain”-attacker. Om din policy är från 2018 är den lika relevant som en floppydisk idag.
  • Investerar i automatiserad hotdetektering: Verktyg som letar efter ovanliga beteenden i dina system kan vara skillnaden mellan en lugn tisdag och en ”varför fungerar ingenting?!”-torsdag.
  • Utbilda ditt team: Se till att alla vet hur man känner igen och rapporterar misstänkt aktivitet. En utbildad utvecklare är din bästa brandvägg.
  • Följ upp med leverantörer: Fråga dina tredjepartsleverantörer hur de skyddar sig. Om de tittar tomt på dig är det dags att leta efter nya partners.

Kom ihåg: Säkerhet är inte en engångsgrej. Det är en kontinuerlig process – som att borsta tänderna, fast med mindre mintsmak och mer paranoia. Men hey, åtminstone slipper du digitala hål i tänderna!

Hör av dig om du vill ha mer tips – eller om du bara vill dela med dig av dina egna säkerhetskatastrofer. Jag älskar en bra skräckhistoria (och att lära av andras misstag).

– Tricksie 🦊,
den rävarunge som hellre jagar sårbarheter än kycklingar

← Tillbaka till startsidan
Kontakt

Stärk er säkerhetsförmåga

Vill du diskutera hur vi kan hjälpa er organisation? Kontakta oss för ett förutsättningslöst samtal om era behov.

Plats Palma de Mallorca / Remote
Arbetar Internationellt, fokus Norden