PhantomRaven napada npm ekosistem

AUTOR ·

Utvrđeno je da PhantomRaven kampanja zlonamjernog softvera iskorištava udaljene dinamičke zavisnosti u npm paketima, čime zaobilazi tradicionalna bezbjednosna rješenja, što pokazuje da su potrebne naprednije metode za otkrivanje ovakvih prijetnji. Istovremeno, sigurnosni istraživači sve češće ukazuju na nove načine kojima zlonamjerni akteri prikrivaju kôd unutar naizgled legitimnog softvera, pa postaje očigledno da je nužna promjena paradigme u pristupu sajber bezbjednosti kako bi se odgovorilo na ovakve sve vještije oblike napada.

PhantomRaven

PhantomRaven napada npm ekosistem; Source: Bing Image Creator

PHANTOMRAVEN KAMPANJA

Globalnu zajednicu programera potresla je pojava PhantomRaven, dalekosežne kampanje koja je obuhvatila 126 zlonamjernih npm paketa sa više od 86.000 preuzimanja. Ovaj fenomen je značajan ne samo zbog svojih razmjera, već i zato što pokazuje kako prijetnje po sajber bezbjednost u ekosistemu otvorenog kôda neprestano evoluiraju.

PhantomRaven se izdvaja kao jedan od najopsežnijih i najrazvijenijih napada na podatke za prijavu programera ikada zabilježenih. Ogroman broj pogođenih paketa i njihovo široko usvajanje u različitim projektima jasno ukazuju na ozbiljnost situacije. Dodatno, činjenica da su ovi zlonamjerni paketi uspjeli da ostanu neotkriveni tokom dužeg vremenskog perioda svjedoči o domišljatosti i upornosti zlonamjernih aktera.

Pojava PhantomRaven kampanje izazvala je zabrinutost i među stručnjacima za bezbjednost, posebno u vezi sa ranjivošću npm sistema za upravljanje paketima. Kao jedno od najvećih i najrasprostranjenijih spremišta paketa na svijetu, npm ima ključnu ulogu u olakšavanju saradnje i dijeljenja kôda unutar globalne zajednice programera.

Osim direktnog uticaja na npm, PhantomRaven kampanja je otvorila i šira pitanja o bezbjednosti ekosistema otvorenog kôda u cjelini. Kako se sve veći broj programera oslanja na zajedničke baze kôda i zajedničke tokove rada, postaje presudno da se obezbijedi zaštita ovih sistema od prijetnji sličnih ovoj kampanji.

 

Priroda zlonamjernih paketa

Skriveni ispod površine, ovi paketi aktivno kradu npm tokene, GitHub podatke za prijavu i CI/CD tajne od neslutećih programera širom svijeta. Takvo ponašanje je tipično za napredne trajne prijetnje (eng. advanced persistent threats – APT), koje su osmišljene da ostanu neotkrivene duže vrijeme dok prikupljaju osjetljive informacije.

Zlonamjerni kôd ugrađen u pogođene pakete PhantomRaven kampanje posebno je oblikovan da izbjegne standardne bezbjednosne analize. Korištenjem novih tehnika i iskorištavanjem slabih tačaka u ekosistemu otvorenog kôda, zlonamjerni akteri uspjeli su da prikriju svoje namjere čak i od najopreznijih programera.

Jedna od ključnih zabrinutosti u vezi sa PhantomRaven kampanjom jeste njena sposobnost da ugrozi osjetljive podatke za prijavu, a da pritom ostane neotkrivena. npm tokeni, GitHub podaci za prijavu i CI/CD tajne predstavljaju izuzetno vrijedne mete za aktere koji žele da dobiju neovlašteni pristup ili poremete kritičnu infrastrukturu.

Dodatnu složenost unosi činjenica da su ovi paketi mogli da upućuju spoljne mrežne zahtjeve tokom procesa instalacije. Takvo ponašanje je neuobičajeno za većinu legitimnih npm paketa, koji se obično ne povezuju sa udaljenim servisima osim kada su za to izričito namijenjeni.

U kontekstu PhantomRaven kampanje, ova mogućnost označava ozbiljnu eskalaciju napada. Zahvaljujući ovim karakteristikama, zlonamjerni akteri uspostavili su komunikacione kanale između ugroženih sistema i svoje infrastrukture za komandovanje i kontrolu, a da pritom nisu izazvali sumnju.

Štaviše, činjenica da je više od 80 od prvobitnih 126 paketa ostalo aktivno i nakon početnih uklanjanja pokazuje sa kakvim se izazovima suočavaju bezbjednosni timovi kada pokušavaju da potpuno iskorijene ovakve prijetnje. Ova situacija jasno naglašava potrebu za stalnim praćenjem i proaktivnim mjerama kako bi se spriječili slični napadi u budućnosti.

 

Otkrivanje i istraga

U oktobru 2025. godine, Koi Security mehanizam Wings, namijenjen za procjenu rizika zasnovanog na ponašanju, otkrio je nagli porast npm paketa koji upućuju spoljne mrežne zahtjeve – nešto što većina paketa nikada ne radi tokom instalacije. Ovo otkriće označilo je ključnu prekretnicu u istrazi PhantomRaven kampanje, jer je postalo jasno da zlonamjerni akteri aktivno iskorištavaju ranjivosti unutar npm sistema za upravljanje paketima.

Dublja istraga koju su sproveli bezbjednosni istraživači otkrila je zabrinjavajući vremenski tok: od avgusta 2025. godine, više od 80 od prvobitnih 126 zlonamjernih paketa ostalo je operativno i prikriveno kralo podatke za prijavu od neslutećih programera. Ovo pokazuje u kojoj mjeri je PhantomRaven kampanja uspjela da izbjegne otkrivanje tokom dužeg perioda.

Činjenica da su rana uklanjanja propustila većinu kasnijih otpremanja dodatno otežava situaciju, jer ukazuje da su zlonamjerni akteri prilagodili svoju taktiku kao odgovor na prve bezbjednosne mjere. Na taj način uspjeli su da održe visok nivo operativne tajnosti i nastave sa krađom osjetljivih podataka za prijavu, a da pritom ostanu neprimijećeni.

Ovakav razvoj događaja otvara ozbiljna pitanja o efikasnosti postojećih bezbjednosnih protokola unutar npm sistema za upravljanje paketima i naglašava potrebu za njihovim daljim unapređenjem.

 

Taktika izbjegavanja

Udaljene dinamičke zavisnosti (eng. remote dynamic dependencies – RDD) predstavljaju naprednu taktiku izbjegavanja koju koriste zlonamjerni akteri u kampanji PhantomRaven kako bi zaobišli tradicionalne alate za analizu zavisnosti i skenere. Za razliku od standardnih npm paketa, koji zavisnosti navode direktno sa npmjs.com, udaljene dinamičke zavisnosti (RDD) oslanjaju se na HTTP URL umjesto na uobičajene pokazivače.

Naizgled mala promjena ima ozbiljne posljedice po bezbjednosno skeniranje i analizu. Korištenjem HTTP URL, zlonamjerni akteri uspijevaju da izbjegnu otkrivanje konvencionalnim metodama, čineći tradicionalne skenere neefikasnim u prepoznavanju prijetnji. Ovakav pristup im omogućava da zadrže kontrolu nad distributivnim serverom i da poslužuju ciljane korisne terete (eng. payloads) prilagođene određenim instalacijama.

Udaljene dinamičke zavisnosti (RDD) u suštini označavaju promjenu pristupa u načinu upravljanja zavisnostima unutar npm paketa. Umjesto pridržavanja standardnih pravila, ova taktika koristi fleksibilnost HTTP URL da bi se izbjeglo otkrivanje od strane bezbjednosnih skenera. Mehanizam udaljenih dinamičkih zavisnosti (RDD) zasniva se na pozivanju spoljnih resursa putem HTTP URL, što odstupa od tradicionalnih metoda gdje su se koristili pokazivači ili kontrole registra. Kada zlonamjerni akter primijeni udaljene dinamičke zavisnosti (RDD), napravi paket koji zavisnosti navodi preko HTTP URL umjesto standardnih pokazivača.

Tokom instalacije, npm preuzima udaljeni paket direktno sa servera zlonamjernog aktera. Time se istovremeno zaobilaze kontrole registra i onemogućava rad skenera, koji u korisničkom okruženju bilježe “0 zavisnosti”. Na ovaj način upotreba udaljenih dinamičkih zavisnosti (RDD) prikriva stvarnu strukturu zavisnosti i otežava analitičarima da prepoznaju prijetnje.

Mehanizam udaljenih dinamičkih zavisnosti (RDD) pokazuje i svoju prilagodljivost kao taktike izbjegavanja. Zlonamjerni akteri mogu da mijenjaju pristup u skladu sa novim bezbjednosnim mjerama ili tehnikama skeniranja, prilagođavajući način na koji se zavisnosti pozivaju unutar paketa. Ova sposobnost dodatno otežava analitičarima da razviju efikasne kontramjere protiv ovakvih napada.

 

Mogućnosti

PhantomRaven kampanja je dizajnirana da pokrene sveobuhvatni pretragu osjetljivih detalja unutar okruženja nakon instalacije. Vektor napada agresivno cilja tajne povezane sa platformama kao što su GitHub Actions, GitLab CI, Jenkins, CircleCI i sam npm – direktno ugrožavajući serverske sisteme za izgradnju i kanale za postavljanje aplikacija.

Kampanja prikuplja podatke iz različitih izvora, uključujući promjenljive okruženja, konfiguracione datoteke (kao što su .gitconfig i .npmrc), metapodatke u package.json datotekama, javne i lokalne IP adrese, imena hostova, informacije o operativnom sistemu, korisnička imena, radne direktorijume i Node.js verzije. Ovi prikupljeni podaci omogućavaju zlonamjernim akterima da daju prioritet ciljevima i fino podese buduće napade.

PhantomRaven kampanja koristi redundantne metode preuzimanja kako bi povećala svoju stopu uspeha. Vektor napada šalje ukradene podatke putem HTTP GET zahtjeva sa URL kôdiranim podacima, HTTP POST zahtjeva sa JSON korisnim teretom i rezervnih WebSocket konekcija – efikasno zaobilazeći većinu mrežnih ograničenja. Ovaj višeslojni pristup osigurava da kampanja može uspješno da prenosi osjetljive informacije čak i u ograničenim mrežnim okruženjima sa agresivnim konfiguracijama zaštitnog zida.

Nazivi paketa koje koristi PhantomRaven kampanja nisu obične tipografske zamke, već iskorištavaju halucinacije velikih jezičkih modela (eng. large language model – LLM) kako bi stvorili uvjerljive pakete koji često asociraju na pomoćnike vještačke inteligencije poput Copilota ili ChatGPT modela. Na primjer, PhantomRaven kampanja može predložiti paket pod nazivom “unused-imports” umjesto legitimnog “eslint-plugin-unused-imports”.

Ova tehnika je poznata kao iskorištavanje grešaka vještačke inteligencije (eng. slopsquatting) i omogućava zlonamjernim akterima da otruju ekosistem paketima koje programeri mogu instalirati samo na osnovu preporuke vještačke inteligencije. Kao takve, žrtve koje vjeruju generisanim sugestijama od strane vještačke inteligencije nesvjesno uvode PhantomRaven zlonamjerni softver u svoja okruženja.

 

Tehnika iskorištavanja grešaka vještačke inteligencije

Iskorištavanje grešaka vještačke inteligencije je tehnika koju koristi PhantomRaven kampanja, a koja se oslanja na halucinacije velikih jezičkih modela (LLM) za pravljenje uvjerljivih paketa. Ove pakete često mogu predložiti asistenti vještačke inteligencije poput GitHub Copilot ili ChatGPT, pa ih programeri ponekad instaliraju isključivo na osnovu preporuke ovih alata.

Ova metoda omogućava zlonamjernim akterima da “otruju” ekosistem paketima osmišljenim da se besprijekorno uklope u legitimna okruženja. Posljedica je da žrtve, vjerujući prijedlozima generisanim vještačkom inteligencijom, nesvjesno unose zlonamjerni softver PhantomRaven kampanje u svoje sisteme.

Takva praksa naglašava potrebu da programeri ostanu oprezni pred novim bezbjednosnim rizicima. Kako se strategije zasnovane na vještačkoj inteligenciji sve više šire, zlonamjerni akteri će nastaviti da koriste ranjivosti unutar legitimnih ekosistema. Zato je ključno da programeri budu svjesni prijetnji koje se kriju iza naizgled legitimnih paketa i da preduzmu proaktivne mjere radi zaštite svojih sistema.

 

UTICAJ

PhantomRaven sajber prijetnja ostavila je dubok trag na bezbjednost digitalnih sistema, sa posljedicama koje pogađaju i pojedince i organizacije. Kao zlonamjerni akter koji iskorištava ranjivosti u lancima snabdijevanja softverom, stvorila je okruženje povećanog rizika i neizvjesnosti. Uticaj je višeslojan – od pojedinačnih programera do čitavih industrija i ekonomija.

Kampanja PhantomRaven dovela je do intenzivnijeg ispitivanja softverskih zavisnosti, pa mnoge organizacije ponovo procjenjuju svoje bezbjednosne protokole i procedure. Ovaj pomak ka većoj budnosti predstavlja nužan odgovor na evoluciju sajber prijetnji, koje sve češće uključuju napredne napade na odnose povjerenja između korisnika i dobavljača. Programeri su, kao posljedica, primorani da budu pažljiviji nego ikada pri odabiru paketa i biblioteka za svoje projekte.

Prijetnja PhantomRaven kampanje dodatno je istakla značaj bezbjednosti lanca snabdijevanja kao ključnog elementa ukupne strategije sajber odbrane. Organizacije koje zanemare ovaj aspekt izlažu se ozbiljnim ranjivostima, koje zlonamjerni akteri mogu iskoristiti sa razornim posljedicama. Ulog je visok, a potreba za snažnom i otpornom odbranom veća nego ikada.

Osim direktnih posljedica, PhantomRaven kampanja doprinijela je i široj kulturnoj promjeni unutar zajednice sajber bezbjednosti. Rastuća svijest o prijetnji donijela je i jače prepoznavanje važnosti proaktivnih mjera u sprječavanju napada. Ova promjena načina razmišljanja pokazuje da sajber bezbjednost nije samo reakcija na incidente, već i predviđanje i ublažavanje rizika kroz pažljivo planiranje i dugoročnu strategiju.

 

ZAKLJUČAK

PhantomRaven kampanja svojim višeslojnim pristupom pokazuje da su njeni glavni aduti izbjegavanje i prikrivenost, što joj omogućava da se neprimjetno uklopi među legitimne alate za programere. Ovaj fenomen jasno oslikava složenost savremenih napada na lanac snabdijevanja softverom, gdje granica između pouzdanog i zlonamjernog postaje sve teže uočljiva.

Upotreba udaljenih dinamičkih zavisnosti (RDD) bila je presudna za dugotrajnu prikrivenost kampanje, pokazala su istraživanja. Izvještaji donose dragocjene uvide u indikatore kompromitovanja i ukazuju na zlonamjerne objave koje programeri moraju pažljivo pratiti. Temeljno razumijevanje ovih faktora ključno je za ublažavanje budućih rizika i za izgradnju otpornijih razvojnih okruženja.

PhantomRaven kampanja ima ozbiljan uticaj na npm pakete i njihove korisnike. Programeri su pozvani da preduzmu proaktivne mjere: da provjeravaju porijeklo modula, upoređuju imena paketa sa zvaničnim stranicama dobavljača i pažljivo analiziraju rezultate pretrage. Time se smanjuje vjerovatnoća da postanu žrtve tehnika zasnovanih na greškama vještačke inteligencije, koje se sve češće koriste za unošenje zlonamjernog kôda.

Otkriće kampanje naglašava potrebu za snažnim bezbjednosnim protokolima unutar ekosistema za razvoj softvera. To podrazumijeva rigorozno testiranje, provjeru i stalno praćenje paketa kako bi se spriječilo unošenje štetnog sadržaja. Pored tehničkih mjera, važna je i edukacija zajednice – podizanje svijesti među programerima o novim oblicima prijetnji i načinima njihove prevencije.

Na kraju, uspjeh PhantomRaven kampanje pokazuje koliko je važno kontinuirano praćenje i analiza u razvojnim okruženjima. Samo kombinacijom tehničke odbrane, pažljivog planiranja i zajedničke odgovornosti moguće je spriječiti slične napade u budućnosti i očuvati povjerenje u digitalne ekosisteme.

 

PREPORUKE

Zaštita od napada lanca snabdijevanja softverom poput PhantomRaven kampanje zahtijeva višestrani pristup koji obuhvata budnost u svakoj fazi razvoja. To podrazumijeva sljedeće preporuke:

  1. Prilikom instaliranja zavisnosti ili npm modula ili drugih menadžera paketa, uvjeriti se da dolaze direktno od zvaničnih dobavljača, a ne preko neprovjerenih kanala. Ovaj jednostavan korak može spriječiti instaliranje zlonamjernih paketa sa imenima sličnim legitimnim.
  2. Prije ukazivanja povjerenja predloženoj zavisnosti, provjeriti da li se podudara sa zvanično navedenim modulom na internet lokaciji ili u dokumentaciji njegovog tvorca. Legitimni programeri obično pružaju jasne informacije o svojim projektima i zavisnostima.
  3. Asistenti vještačke inteligencije, poput GitHub Copilot, ponekad mogu predložiti pakete koji nisu prethodno provjereni, upravo zbog upotrebe tehnike zasnovanih na greškama vještačke inteligencije. Zbog toga je od presudne važnosti da se autentičnost svakog predloženog modula provjeri prije instalacije. Posebnu pažnju treba obratiti na pakete koji djeluju neuobičajeno ili dolaze iz nepoznatih izvora, jer upravo takvi mogu predstavljati ozbiljnu prijetnju bezbjednosti sistema.
  4. Blokirati upotrebu spoljnih URL veza kao izvora instalacije i revidirajte sve zavisnosti kako bi se osiguralo da ne sadrže neovlaštene veze koje bi mogle dovesti do zlonamjernih paketa.
  5. Obezbijediti sveobuhvatne obuke programera koje pokrivaju različite vrste prijetnji, uključujući napade u stilu PhantomRaven kampanje i upotrebe tehnike zasnovanih na greškama vještačke inteligencije, kao i drugih oblika društvenog inženjeringa usmjerenog na ugrožavanje razvojnih okruženja.
  6. Razvijati plan odgovora na sajber prijetnje na nivou cijele organizacije koji pokriva različite vrste bezbjednosnih incidenata, uključujući one povezane sa napadima u stilu PhantomRaven kampanje na npm pakete i druge menadžere paketa koji se koriste u razvojnim okruženjima.
  7. Osigurati da je sva komunikacija između različitih komponenti uključenih u procese izgradnje šifrovana korištenjem standardnih algoritama za šifrovanje kao što su TLS ili SSH kako bi se spriječilo prisluškivanje od strane zlonamjernih aktera koji traže pristup povjerljivim informacijama kao što su GitHub podaci za prijavu, CI/CD tajne i drugi tokeni za autentifikaciju koji se koriste za pristup razvojnim okruženjima.

Zaštita od napada lanca snabdijevanja zlonamjernim softverom poput PhantomRaven kampanje zahtjeva sveobuhvatan pristup koji uključuje budnost u svakoj fazi procesa razvoja. Praćenjem navedenih preporuka, programeri mogu značajno smanjiti svoju izloženost takvim prijetnjama.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.