חבילות NPM הינן מודולים רב פעמיים של קוד JavaScript אותם יכולים מפתחים לשלב בקלות בפרויקטים שלהם. NPM – ראשי תיבות של Node Package Manager, הוא גם כלי שורת פקודה לאינטראקציה עם חבילות אלו וגם רישום התוכנה הגדול בעולם שבו מתארחות חבילות אלו. במתקפת שרשרת אספקה הזריקו האקרים נוזקה לחבילות NPM בעלות למעלה מ- 2.6 מיליארד הורדות שבועיות, לאחר שפרצו במתקפת דיוג לחשבון מתחזק חבילות כמו זה של ג'וש ג'ונון (qix). יש לציין כי ג'ונון אמר שהוא מודע לפריצה והוסיף שדוא"ל הדיוג הגיע כמייל תמיכה מ- npmjs [dot] help – דומיין המארח אתר אינטרנט המתחזה לדומיין הלגיטימי npmjs.com.
כטקטיקת הפחדה, איימו ההאקרים במיילים כי חשבונות כל המתחזקים יינעלו ב- 10 בספטמבר 2025, כדי לגרום להם ללחוץ על הקישור המפנה אותם לאתרי הדיוג: "כחלק ממחויבותנו המתמשכת לאבטחת החשבון, אנו מבקשים מכל המשתמשים לעדכן את פרטי האימות הדו-שלבי (2FA) שלהם. הרישומים שלנו מצביעים על כך שעברו למעלה מ- 12 חודשים מאז עדכון 2FA האחרון שלך", נכתב בדוא"ל הדיוג וכן: "על מנת לשמור על האבטחה והשלמות של חשבונך, אנו מבקשים שתשלים עדכון זה בהקדם האפשרי. שימו לב שחשבונות עם אישורי 2FA מיושנים יינעלו זמנית החל מ- 10 בספטמבר 2025, כדי למנוע גישה בלתי מורשית."
לפי Aikido Security שניתחה את מתקפת שרשרת האספקה, עדכנו ההאקרים את החבילות לאחר השתלטות והזריקו קוד זדוני הפועל כמיירט מבוסס דפדפן לקבצי index.js, המסוגל לחטוף תעבורת רשת וממשקי API של יישומים. הקוד הזדוני משפיע רק על אנשים הניגשים לאפליקציות שנפרצו דרך האינטרנט ועוקב אחר כתובות קריפטוגרפיות ועסקאות אשר לאחר מכן מנותבות לכתובות ארנק הנשלטות על ידי ההאקרים. הנוזקה פועלת כך שהיא מחדירה את עצמה לדפדפן האינטרנט ומנטרת כתובות או העברות ארנקים של את'ריום, ביטקוין, סולאנה, טרון, לייטקוין וביטקוין קאש. בתגובות רשת עם עסקאות קריפטו, היא מחליפה את היעדים בכתובות הנשלטות על ידי ההאקרים וחוטפת עסקאות לפני שהן נחתמות. Aikido טוענים כי הקוד הזדוני עושה זאת על ידי חיבור פונקציות JavaScript כמו fetch, XMLHttpRequest וממשקי API של ארנק (window.ethereum, Solana וכו').
"החבילות עודכנו כך שהכילו קטע קוד שיבוצע על גבי לקוח של אתר אינטרנט, אשר מיירט בחשאי פעילות קריפטו ו- web3 בדפדפן, מבצע מניפולציות באינטראקציות עם הארנק וכותב מחדש יעדי תשלום, כך שכספים ואישורים מנותבים לחשבונות הנשלטים על ידי ההאקרים וזאת, ללא סימנים ברורים למשתמש", אמר חוקר אבטחה ב- Aikido – צ'רלי אריקסן. לדבריו: "מה שהופך את זה למסוכן הוא שזה פועל במספר שכבות: שינוי תוכן המוצג באתרי אינטרנט, שיבוש קריאות API ומניפולציה של מה שאפליקציות המשתמשים מאמינות שהן חותמות עליו."
מתקפת שרשרת אספקה זו מגיעה לאחר סדרה של מתקפות דומות המכוונות למפתחים של ספריות JavaScript מוכרות במהלך החודשים האחרונים. לדוגמה, ביולי פרצו פושעי סייבר את eslint-config-prettier – חבילה בעלת למעלה מ- 30 מיליון הורדות שבועיות, בעוד שבמרץ, נחטפו עשר ספריות npm נוספות הנמצאות בשימוש נרחב והפכו לנוזקות גניבת מידע. גם מתקפת הדיוג וגם הנוזקה שהוזרקה, ממחישים כיצד הפך דפדפן האינטרנט למשטח התקפה עצום לגניבת אישורי גישה, שינוי תעבורה ופריצה לרשתות מחשוב.
