maj 26, 2026 Svenskt ehandelsplatform tecknar avtal om sårbarhetsscanning
maj 21, 2026 Svenskt programvaruproducent tecknar avtal om kontinuerlig pentestning
maj 20, 2026 Svenskt CRM-bolag tecknar avtal om kontinuerlig pentest
maj 16, 2026 eBuilder ingår avtal kring SOC/MDR med en TechHub
maj 11, 2026 eBuilder ingår avtal kring SOC/MDR och automatiserade pentester med ett förlag
maj 8, 2026 eBuilder ingår avtal kring pentester med ett världsledande petrokemisk producent
april 8, 2026 eBuilder skriver avtal kring MDR/SOC med en hotellkedja.
mars 13, 2026 eBuilder skriver avtal om SOC-tjänst med mellansvensk kommun.
FÖRETAGSNYHETER
Sårbarheter

Jscrambler npm-paket komprometterat i fem versioner, Rust-infostealer installeras vid uppgradering

Date juli 13, 2026 / 5 Lästid

Det officiella jscrambler npm-paketet komprometterades i minst fem versioner, med start i 8.14.0. Varje utvecklare som installerade eller uppgraderade till en drabbad version laddade ned en Rust-skriven infostealer under själva npm-installationen, innan en enda rad kod skrevits.

The Hacker News rapporterade kompromissen först. Enligt deras rapportering angriper infostealern inloggningsuppgifter hos molnleverantörer, kryptovalutaplånböcker, webbläsarlagrade inloggningar och inloggningsuppgifter lagrade av AI-baserade kodverktyg. Kombinationen är inte slumpmässig. Utvecklare som kör jscrambler professionellt är exakt de konton som innehåller AWS-, Azure- och GCP-åtkomstnycklar, tillsammans med lokala inloggningslager som gör lateral förflyttning in i en byggpipeline enkel.

Ta bort samtliga drabbade versioner från din miljö innan du läser vidare.

Fem versioner drabbade, inte en

Den inledande rapporteringen fokuserade på 8.14.0. The Hacker News bekräftade därefter att kompromissen sträckte sig över fem versioner och kopplade de ytterligare drabbade versionerna till analys från Socket. Den exakta övre gränsen för det drabbade versionsintervallet hade inte bekräftats av någon myndighetsrådgivning vid publiceringstillfället, och de CVE-poster som tilldelats händelsen, inklusive CVE-2026-13778, CVE-2026-13795, CVE-2026-13809, CVE-2026-13842, CVE-2026-14096, CVE-2026-14396, CVE-2026-14399, CVE-2026-14404, CVE-2026-14423, CVE-2026-14428, CVE-2026-15308, CVE-2026-58281 och CVE-2026-59871, saknar ännu publicerade CVSS-poäng i NIST National Vulnerability Database. Tretton CVE:er fördelade på fem paketversioner tyder på att den skadliga koden inte var en enda payload som droppades en gång. Behandla samtliga versioner mellan 8.14.0 och 8.16.0 som misstänkta tills Jscrambler publicerar en verifierad ren gräns med kryptografisk verifieringsmetod.

Angreppsvektorn förtjänar precision. Infostealern levereras inte via en sårbarhet i jscrambers obfuskeringslogik. Den körs under npm install. En utvecklare som skriver npm install jscrambler på en drabbad version exekverar den skadliga koden på sin egen maskin, i sitt eget användarkontext, innan paketet gör något det är avsett att göra.

Vad infostealern tar

Enligt The Hacker News angriper Rust-infostealern fyra kategorier av inloggningslagring: åtkomstnycklar till molnleverantörer, kryptovalutaplånböcker, webbläsarlagrade inloggningar och inloggningsuppgifter cachade av AI-baserade kodassistenter. Valet av Rust är medvetet. Rust-binärer är kompakta, snabba och svårare att analysera dynamiskt än Python- eller JavaScript-payloads. De kräver heller ingen runtime-tolk installerad på maskinen, vilket eliminerar ett detektionsberoende som försvarare ibland förlitar sig på.

Molnnycklar är det mest värdefulla målet på den listan. En AWS-åtkomstnyckel som exfiltrerats från en utvecklares maskin slutar inte att vara giltig när utvecklaren avinstallerar paketet. Nyckelrotation är det enda botemedlet, och det måste ske innan angriparen använder nyckeln, inte efter.

CI/CD-miljön är ett större problem än den enskilda maskinen

Jscrambler är ett JavaScript-obfuskerings- och skyddsverktyg som används i CI/CD-pipelines. Utvecklare kör det inte bara lokalt. Många organisationer installerar det som del av en automatiserad byggprocess, vilket innebär att infostealern kan ha exekverats i en byggmiljö med tillgång till hemligheter lagrade i pipeline-variabler, inte bara den enskilde utvecklarens inloggningsuppgifter.

Den skillnaden är avgörande. En utvecklararbetsstation innehåller den utvecklarens inloggningsuppgifter. En komprometterad CI/CD-runner innehåller varje hemlighet som pipeline:n hanterar: driftsättningsnycklar, tokens till containerregister, signeringscertifikat och API-nycklar för nedströmsystem. Skaderadien bestäms av vad runnern kan komma åt, inte av vad utvecklaren personligen lagrar.

Varje organisation som betraktar händelsen som avslutad när paketet avinstallerats bör tänka om. Frågan är inte om paketet är borta. Frågan är vad som kördes under det fönster då det var installerat, och om de inloggningsuppgifterna fortfarande är giltiga.

Inga nordiska organisationer har bekräftat exponering

Ingen svensk, norsk, finsk eller dansk organisation har offentligt bekräftat exponering mot denna händelse vid publiceringstillfället. Jscrambers kundbas inkluderar enterprise-mjukvaruteam i hela Europa, och varje nordisk utvecklingsverksamhet som kör automatiserade JavaScript-byggen bör granska sina beroendeloggar. Avsaknaden av ett offentligt utlämnande innebär inte avsaknaden av en komprometterad byggmiljö.

Åtgärder innan utvecklingen återupptas

Kontrollera din package-lock.json, yarn.lock eller motsvarande lockfile efter jscrambler-versioner mellan 8.14.0 och 8.16.0 inklusive. Om någon drabbad version finns, behandla den maskin eller runner som installerade den som potentiellt komprometterad.

Rotera molninloggningsuppgifter omedelbart. Vänta inte på att bekräfta exfiltrering. AWS, Azure och GCP stöder alla nyckelrotation utan avbrott i tjänsten om det planeras rätt. Återkalla de gamla nycklarna innan de nya är på plats och du får ett kortvarigt avbrott. Rotera med överlapp, återkalla sedan.

Granska hemligheter i din CI/CD-pipeline. Om den drabbade paketversionen körde i en byggmiljö, ta fram den fullständiga listan över hemligheter tillgängliga för den runnern och rotera samtliga. Pipeline-hemligheter är ofta överprovisionerade och sällan granskade. Det här är ett lämpligt tillfälle att ta bort de som inte längre används aktivt.

Kontrollera webbläsarens inloggningslager på varje utvecklarmaskin där den drabbade versionen körde. Infostealern angriper webbläsarlagrade inloggningar direkt. Exporterade lösenordshanterare bör granskas för varje inloggningsuppgift som var tillgänglig i en webbläsarprofil på den drabbade maskinen under det fönster paketet var installerat.

Lås dina npm-beroenden med exakt versionslåsning och aktivera integritetskontroll via npm ci i stället för npm install i automatiserade pipelines. Det förhindrar inte att ett komprometterat paket uppströms installeras, men det förhindrar tysta uppgraderingar till en komprometterad version om en utvecklare eller pipeline tidigare hade en ren.

Vänta tills Jscrambler publicerar en signerad, verifierad ren version innan paketet används igen. Företaget hade inte publicerat något offentligt uttalande efter händelsen med en verifierad ren build vid publiceringstillfället.

Referenser

  1. Compromised jscrambler 8.14.0 npm Release Drops Rust Infostealer During Install
  2. Update – jscrambler npm Compromise Hit Five Versions, Not One
  3. NIST National Vulnerability Database

This post is also available in: English