48 timer, tre angrep: Slik stjeler hackerne utviklernøklene fra npm, PyPI og Docker

Sikkerhetsforskere har dokumentert tre uavhengige angrep mot programvarearkivene npm, PyPI og Docker Hub i løpet av et drøyt døgn, opplyser sikkerhetsfirmaet GitGuardian. Kampanjene henger sammen og sporer tilbake til en finansielt motivert gruppe kalt TeamPCP, som i flere måneder har høstet utviklernøkler i industriell skala.

Felles for angrepene var målet. Ikke å ødelegge, men å stjele. Malwaren samlet inn GitHub-tokens, AWS-, Azure- og Google Cloud-påloggingsinformasjon, npm-konfigurasjonsfiler, SSH-nøkler og miljøvariabler. Med slike nøkler kan angriperne ta over kontoer, skyinfrastruktur og videre distribusjonskanaler.

Hva er et supply chain-angrep?

Et supply chain-angrep, eller forsyningskjedeangrep, treffer ikke offeret direkte. Angriperne kompromitterer en programvarekomponent som mange andre stoler på, og venter på at den blir installert lenger ned i kjeden. I praksis betyr det at en infisert pakke i et offentlig arkiv som npm eller PyPI kan ende opp i kode hos tusenvis av selskaper neste gang noen kjører en oppdatering.

Forskjellen fra et direkte hack er stor. Ved tradisjonell hacking må kriminelle finne en svakhet hos hvert enkelt offer. Ved et supply chain-angrep planter de gift én gang i en komponent som lastes ned millioner av ganger i uka, og lar utviklerne selv frakte skadekoden videre inn i sine egne systemer.

Tre forskjellige innfallsvinkler

På Docker Hub plantet TeamPCP malware i offisielle images for Checkmarx KICS, et populært sikkerhetsverktøy. En tidligere bølge av samme kampanje rammet Aqua Securitys Trivy-images i versjon v0.69.5 og v0.69.6, som ble erstattet med malisiøse varianter på Docker Hub i mars.

På npm dukket en selvspredende orm opp i pakken pgserve. Skadekoden kjørte via en postinstall-hook, altså et lite skript som automatisk utføres når en utvikler installerer pakken. Hver gang en ny maskin ble infisert, brukte ormen stjålne tokener til å publisere nye, forgiftede versjoner.

På PyPI ble pakken xinference kompromittert i tre påfølgende releaser. Den samlet inn SSH-nøkler, skykredentialer og kryptolommebøker, og sendte dataen ukryptert til en kontrollserver.

Hvorfor det rammer vanlige brukere

De fleste tenker på programvareutvikling som noe som skjer langt unna sluttbrukeren. Men appene du daglig bruker i banken, på jobben eller i mobilen er som regel bygget på hundrevis av småbiter fra åpne arkiver. Når én av disse bitene blir forgiftet, kan effekten forplante seg gjennom hele kjeden, og til slutt nå tjenestene du selv logger inn på.

I mai 2026 trappet TeamPCP opp angrepene. En oppdatert variant av malwaren, kalt Mini Shai-Hulud, rammet hele TanStack-økosystemet, med 84 malisiøse versjoner fordelt på 42 @tanstack/*-pakker som til sammen lastes ned millioner av ganger i uka. Også PyPI-pakkene mistralai (versjon 2.4.6) og guardrails-ai (versjon 0.10.1) ble dratt inn, sammen med over 150 distinkte npm-pakker fordelt på mer enn 300 malisiøse versjoner.

Sikkerhetsforsker Charlie Eriksen kaller utviklingen et samfunnsproblem. Han peker på at store selskaper er prisgitt småpakker vedlikeholdt av frivillige, og at risikoen lander hos alle som bruker programvaren videre.

Hva man kan gjøre

For utviklere er rådet å låse pakkene til konkrete versjoner og verifisere kryptografiske signaturer før installasjon. For vanlige brukere handler det meste om å holde apper og operativsystem oppdatert, slik at sikkerhetsoppdateringer fra leverandørene faktisk når enhetene raskt.