Cyberbrottslingar blir allt skickligare på att dölja sina spår, och en ny analys från FortiGuard Labs visar hur utvecklare nu blivit ett huvudmål för globala cyberattacker. Med hjälp av falska kodpaket, dolda skript och välkända plattformar som verktyg smyger sig angriparna in – ofta utan att någon märker det.
Skadlig kod sprids via populära plattformar
Sedan november 2024 har FortiGuard Labs registrerat en kraftig ökning av skadlig kod som distribueras globalt. En av de mest oroande trenderna är att angripare allt oftare använder legitima plattformar som Discord för att smuggla ut information via funktioner som webhooks.
Genom att manipulera installationsskript och kamouflera sin kod lyckas de ta sig in i system utan att väcka misstanke – och etablera bakdörrar för framtida attacker.
– Att använda populära plattformar som Discord för att distribuera skadlig kod visar hur avancerade dagens cyberbrottslingar har blivit. Den här typen av attacker riskerar dessutom att skapa bakdörrar eller förbereda system för ytterligare intrång, vilket gör det avgörande att noggrant granska installationsskript och vara vaksam på potentiella hot, säger Andreas Gotthardsson, cybersäkerhetsexpert på Fortinet.
Utvecklare i skottlinjen
En särskilt utsatt grupp är utvecklare, där angripare riktar in sig på populära kodplattformar som PyPI och NPM. Här har Fortinet identifierat en mängd kodpaket med dold skadlig kod, där allt från lösenordsstöld till fjärrstyrning av datorer kan förekomma.
Den skadliga koden kan samla in systemdata, skapa bakdörrar eller exfiltrera känslig information – utan att utvecklaren märker något. Attackmetoder som typosquatting används flitigt, där förfalskade paket får namn som liknar välkända bibliotek för att lura användare att ladda ner dem.
Kryptering och osynliga kommunikationsvägar
För att ytterligare försvåra upptäckt använder cyberbrottslingar ofta krypterad kommunikation till sina servrar. Det gör att klassiska övervakningsverktyg har svårt att upptäcka misstänkt aktivitet. Detta är en del i den växande trenden där attackerna blir mer riktade, diskreta och svårare att spåra.
Analys: tusentals misstänkta paket identifierade
FortiGuard Labs har genomfört en omfattande kartläggning av skadliga paket. Här är några av de mest slående siffrorna:
• 1 082 paket med låg filmängd och minimal kod – optimerade för att smyga förbi säkerhetsfilter.
• 1 052 paket med inbäddade, misstänkta installationsskript.
• 1 043 paket saknar kodförråd – vilket väcker frågor kring ursprung och spårbarhet.
• 974 paket innehåller misstänkta URL:er för datastöld eller fjärrstyrning.
• 681 paket använder API:er som https.get och https.request för att kommunicera med angriparnas servrar.
• 537 paket har helt tomma beskrivningar – ett vanligt knep för att undvika uppmärksamhet.
• 164 paket har ovanligt höga versionsnummer, troligen för att lura användare att lita på dem.
Slutsats: ökad vaksamhet krävs
Den nya vågen av sofistikerade cyberattacker kräver att både utvecklare och företag är extra uppmärksamma. Att granska paketkällor noggrant, använda säkerhetsverktyg som upptäcker avvikande beteende och utbilda team i moderna hotbilder är viktiga åtgärder för att minska risken.
Samtidigt visar analysen hur snabbt hotlandskapet förändras – och att cybersäkerhet i dag kräver ett lika agilt som tekniskt avancerat försvar.