Des attaques par hameçonnage ont ciblé des comptes de gestionnaires de paquets (npm) Javascript, visant à déployer des malwares et à installer des portes dérobées. Ces actions malveillantes soulèvent des préoccupations sérieuses en matière de cybersécurité, notamment en France.
Une attaque supply chain alarmante
Récemment, des chercheurs en sécurité de Bluesky ont identifié une attaque qui a eu lieu la semaine dernière, touchant divers gestionnaires de paquets npm. Certains de ces paquets ont été compromis pour distribuer des malwares. Les utilisateurs qui ont téléchargé ces packages pourraient avoir été exposés à des risques, sauf s’ils ont mis à jour leur système avec les dernières versions.
Un exemple marquant est survenu le 19 juillet, lorsque des attaquants ont réussi à insérer un malware dans le package _is_, qui est resté inaperçu pendant six heures. Jordan Harband, ingénieur logiciel chez Bluesky, a émis une alerte, déclarant : “Sachez que la v3.3.1 de npmjs.com/is comporte un malware à cause d’un autre compte de gestionnaire de package qui a été piraté”. Suite à cette découverte, la version infectée a été retirée et remplacée par la version v3.3.0, suivie de la publication de la version 3.3.2.
Impact des malwares sur l’écosystème npm
Le package _is_ propose un runtime de validation de données externes et de vérification d’erreurs. Bien que le nombre exact de packages infectés reste inconnu, il est préoccupant de constater qu’il a été téléchargé près de 2,8 millions de fois chaque semaine. Cette campagne, nommée Scavenger, a également visé plusieurs bibliothèques de test JavaScript populaires avec des tactiques similaires de phishing.
Les packages affectés incluent des outils connus tels qu’eslint-config-prettier et eslint-plugin-prettier. Ces attaques soulignent la vulnérabilité des gestionnaires de paquets au sein de la supply chain.
Un terrain de chasse pour les cybercriminels
Ces compromissions font partie d’une campagne plus large, exploitant des techniques d’ingénierie sociale pour pirater des comptes de gestionnaires de paquets. Les cybercriminels ciblent ces comptes en raison de leur portée et de l’impact potentiel de leurs attaques. Tom Hyslip, expert en cybersécurité, a noté que l’attaque sur le package npm _is_ n’était pas simplement une question de DLL, mais impliquait un chargeur de malware Javascript multi-plateformes, capable de fonctionner sur différents systèmes d’exploitation.
Pourquoi cibler les packages npm ?
Selon Max Gannon, analyste chez Cofense, ces gestionnaires de paquets représentent des comptes avec des privilèges élevés, permettant aux cybercriminels de diffuser leur malware dans de nombreuses entreprises. Au lieu de compromettre une seule entreprise, ils peuvent atteindre des centaines, voire des milliers d’autres en ciblant un seul développeur.
Des mesures à prendre pour la sécurité
Pour se prémunir contre ces menaces, il est conseillé aux développeurs de se concentrer sur leurs dépendances en utilisant des fichiers package-lock.json. Cela permet de stopper les mises à jour malveillantes sur l’arbre des dépendances. D’autres outils peuvent analyser les packages avant installation et vérifier les versions par rapport aux vulnérabilités connues.
En mai, Socket a identifié 60 packages npm malveillants et, en juin, deux autres packages ont été découverts, installant des portes dérobées. Max Gannon souligne l’importance de vérifier régulièrement les mises à jour des paquets : “Dans les logiciels, on dit souvent de patcher tôt et souvent. Malheureusement, cela rend les packages plus vulnérables aux attaques SCM.”