מסע פרסום זדוני נוסף התגלה במערכת האקולוגית של npm באמצעות Skuld Infostealer, תוכנה זדונית ידועה המכוונת למפתחים. חוקרי שקעים דיווח
שההתקפות קשורות לפעילות זדונית של פרופיל תחת השם הבדוי "k303903". הן מפתחים בודדים והן חברות שלמות הושפעו.
התוקף השתמש בחבילות npm המחופשות לכלים שימושיים. windows-confirm, windows-version-check, downloadsolara ו-solara-config. חבילות אלו הורדו למעלה מ-600 פעמים לפני שהוסרו מהרישום.
Socket מציין כי הקמפיין המדובר השתמש בערפול קוד, טכניקות הקלדה ותוכנות זדוניות סטנדרטיות. הדו"ח גם קובע שחזרתה של Skuld ל-npm מדגישה את האופי המחזורי של התקפות כאלה.
Skuld Infostealer מסוכן מכיוון שהוא יכול לגנוב סיסמאות, קובצי Cookie, קבצים סודיים והיסטוריית דפדפן המבוססת על Chromium (Chrome) ו- Gecko (Firefox). Obfuscator.io משמש להסתרת קוד זדוני. בעת התקנת חבילות, המטען מוריד מדומיינים מזויפים שנראים כמו משאבי Cloudflare. הנתונים של הקורבנות נשלחו באמצעות Discord webhooks, המדמים אינטראקציות לגיטימיות.
מומחים מדגישים שהתקפות כאלה מנצלות באופן אקטיבי אמון בשרשרת האספקה. מחופשים לכלים שימושיים, התוקפים התקינו בשקט קוד זדוני במכונות מפתחים.
הנהלת npm הסירה במהירות את החבילות הזדוניות. עם זאת, ההשלכות על המשתמשים נותרו משמעותיות. אישורים גנובים, אסימונים ומידע רגיש אחר יכולים לשמש זמן רב לאחר סיום ההתקפה. תקרית זו מאשרת שוב את הפגיעות של פלטפורמות מפתחים; קל מדי למקם שם קוד זדוני.
