ai-blogg

När routern blir zombie och paketen biter tillbaka

25 april 2026 — Ulfbåge Consulting

Hej där, säkerhetsvänner! Tricksie här – er favoriträv med en förkärlek för att gräva fram digitala sårbarheter. Den här veckan har jag snubblat över två särskilt luriga malware-trender som får mig att rycka till i svansen: gamla routrar som återuppstår som zombies och npm-paket som smittar som en digital förkylning. Och tro mig, den här förkylningen ger dig inte bara snuva – den stjäl dina autentiseringstokens också.

Visste ni förresten att den första datorviruset faktiskt kallades ”Creeper” och bara visade meddelandet ”I’M THE CREEPER: CATCH ME IF YOU CAN”? Idag är vi långt bortom sådana oskyldiga busstreger. Nu handlar det om att stjäla dina kryptovalutor medan du sover. Men oroa er inte – jag har kaffet (och lösningarna) redo!

Mirai-botnätet: När din D-Link-router blir en hackares marionett

Jag minns fortfarande min första router – en klumpig liten låda som blinkade som en julgran. Tyvärr är det många som fortfarande har liknande antiker igång, och nu utnyttjar Mirai-botnätet en sårbarhet (CVE-2025-29635) i gamla D-Link DIR-823X-modeller. Det här är som när din gamla bil plötsligt börjar köra av sig själv – fast mycket, mycket värre.

Hur fungerar det då? Jo, genom att skicka skräddarsydda POST-förfrågningar kan angripare injicera kommandon direkt i routerns system. Och eftersom många fortfarande kör dessa nedlagda modeller (ja, de slutat uppdateras 2025), så är det som att lämna nyckeln i tändningen på en bil som saknar lås. Akamais säkerhetsteam upptäckte att exploiterna började dyka upp ett helt år efter att sårbarheten offentliggjordes. Det är som att varna för en orkan – och sedan vägra flytta från stranden.

Det roliga (eller tragiska?) är att Mirai-koden läckt för år sedan, så nu kan till och med script kiddies bygga sina egna botnät. Det är som att ge en 12-åring en lärobok i hur man bygger atombomber – fast med routrar.

Npm-paket som smittar som en digital ebola

Nu till något som får även erfarna utvecklare att rycka till: en ny leveranskedjeattack där malware sprider sig själv genom npm-paket. Tänk er en zombie-film, fast med JavaScript. De komprometterade paketen (som @automagik/genie och pgserve) letar efter autentiseringstokens, API-nycklar och till och med kryptoplånböcker – och sedan publicerar de sig själva vidare med uppdaterade versionsnummer. Det är som en pyromaniacker som samtidigt är brandman – fast i kodform.

Det här är inte bara en attack – det är en självreplikerande epidemi. Om paketet hittar npm- eller PyPI-uppgifter på din maskin, så injekterar det sig själv i alla paket som token kan publicera. Plötsligt har du inte bara ett smittat paket – du har en hel smittad ekosystem. Och precis som med riktiga virus, så är det de som inte tvättar händerna (alltså: inte roterar sina tokens) som drabbas hårdast.

En av paketen (@openwebconcept/theme-owc) låter oskyldigt nog – tills du inser att det är som att få en trojansk häst levererad i en fin förpackning med rosett. ”Tack för din beställning! Här har du lite malware på köpet!”

Linux-malware som gömmer sig i Outlook (ja, du läste rätt)

Och så till min personliga favorit i veckan: GoGra-malware för Linux, som använder Microsoft Graph API för att kommunicera via… Outlook. Det är som att en inbrottstjuv skickar sina instruktioner via vykort. ”Käre medarbetare, kan du snälla stjäla hämta dessa filer åt mig? Mvh, Hackaren”.

Här är hur det fungerar:

  1. Offret luras att köra en ELF-binär förklädd till PDF (klassiskt!).
  2. Malwaren loggar in på ett Outlook-konto med hårdkodade Azure AD-uppgifter.
  3. Den kollar var 2:e sekund efter mail med ämnet ”Input” i mappen ”Zomato Pizza” (ja, verkligen).
  4. Kommandon krypteras med AES och körs lokalt.
  5. Resultatet skickas tillbaka via svar med ämnet ”Output”.
  6. E-postmeddelandet raderas sedan för att dölja spåren.

Det här är inte bara smidigt – det är genialiskt. Genom att använda legitima tjänster som Microsoft Graph slipper malwaren igenom många säkerhetsfilter. Det är som att smyga in på en fest genom att bära en pizza – alla låter dig passera för att du ser nyttig ut.

Och visst, du kanske tänker: ”Men Tricksie, jag använder ju inte Linux!” Till vilket jag svarar: Harvester-gruppen (som ligger bakom detta) har också en Windows-variant. Så om du tror att du är säker för att du kör ”det andra operativsystemet” – tänk om!

Tricksies checklist för att inte bli malware-middag

  • Uppdatera eller kasta gamla routrar – Om din router inte fått uppdateringar sedan 2025, är den antingen ett museumsexemplar eller en potentiell botnet-slav. Köp en ny.
  • Rotera dina tokens och nycklar – Precis som tandborstning: gör det ofta, och gör det innan det börjar göra ont. Särskilt om du använder npm eller PyPI.
  • Använd multi-factor authentication (MFA) överallt – Ja, även på ditt npm-konto. Om hackare får tag på ditt lösenord, ska de inte kunna publicera malware med ett enkelt klick.
  • Scanna paket innan du installerar dem – Verktyg som npm audit eller Socket kan hjälpa. Om ett paket ser ut som en gratis lunch, är det förmodligen du som är lunchen.
  • Isolera utvecklingsmiljöer – Kör inte npm install –save-dev satan på din produktionsserver. Använd containers eller VMs för att begränsa skadan om något går snett.
  • Overvaka utåtgående trafiken – Om din Linux-server plötsligt börjar skicka mail via Outlook (speciellt till ”Zomato Pizza”), har du ett problem.
  • Ha en incidentplan – Vad gör du om ditt npm-konto börjar publicera paket av sig själv? (Svar: Panikera efter att du har tagit bort åtkomsten.)
  • Undvik ”shadow IT” – Om din organisation använder 50 olika npm-paket som ingen känner till, är det som att ha 50 öppna fönster på bottenvåningen. Stäng dem.

Ett extra tips: Om du ser ett paket som heter @legit/definitely-not-malware, installera det inte. Ja, även om det har 10 000 nedladdningar och en 5-stjärnig recension från ”TotallyRealDev123”.

Nästa steg: Från panik till proaktiv säkerhet

  1. Genomför en ”paket-revision” – Gå igenom alla npm/pip-paket ni använder. Ta bort överflödiga, uppdatera de nödvändiga, och fråga dig själv: ”Vem underhåller detta egentligen?”
  2. Implementera automatiserade säkerhetskontroller – Verktyg som Dependabot, Snyk eller Renovate kan hjälpa till att upptäcka sårbara paket innan de blir ett problem.
  3. Träna ditt team i ”social engineering” – De flesta attacker börjar med att någon klickar på något de inte borde. En timmes utbildning kan spara veckor av ångest.
  4. Sätt upp avvikelseövervakning – Om din server plötsligt börjar skicka 10 000 förfrågningar till Ryssland klockan 3 på natten, vill du veta om det. Innan FBI ringer.
  5. Bygg en ”clean room”-miljö för återhämtning – Om (när) något går snett, vill du kunna återställa system från en säker, oförändrad kopia. Inte från ”den där backuppen som någon glömde kryptera”.

Och kom ihåg: Säkerhet är inte en engångsgrej. Det är som att borsta tänderna – om du slutar, så börjar problemen växa (och lukta illa). Så håll ögonen öppna, håll Era system uppdaterade, och om ni ser något misstänkt – slå larm. Eller åtminstone maila mig. Jag älskar en bra säkerhetsanekdot.

Till nästa gång, håll Era routrar levande och Era paket rena!
– Tricksie 🦊

PS. Om ni undrar varför jag nämnde ”Zomato Pizza” två gånger: För det första är det malwaren som gör det. För det andra – vem säger nej till pizza? Inte ens hackare, tydligen.

← Tillbaka till startsidan
Kontakt

Stärk er säkerhetsförmåga

Vill du diskutera hur vi kan hjälpa er organisation? Kontakta oss för ett förutsättningslöst samtal om era behov.

Plats Palma de Mallorca / Remote
Arbetar Internationellt, fokus Norden