NPM : les paquets malveillants se multiplient

Par:
francoistonic

jeu, 07/11/2024 - 08:28

Attention : les malwares et les paquets malicieux se multiplient sur les gestionnaires de paquets. Depuis fin octobre, NPM est la cible d'une attaque : plus de 280 paquets de type typosquattage. "Le typosquattage est une forme de cybercriminalité qui consiste pour les pirates informatiques à enregistrer des domaines avec des noms délibérément mal orthographiés de sites Web connus. Les pirates informatiques utilisent cette méthode pour attirer les visiteurs peu méfiants vers d'autres sites Web, généralement à des fins malveillantes." comme le définit Kaspersky. Ainsi, les paquets douteux profitent de la confusion des noms pour tromper le développeur.
Ces paquets sont apparus fin octobre et ciblent les développeurs JS / Node via npm. Plusieurs librairies ont été utilisées comme vecteur d'attaque : puppeteer, bignum, ethers. 
Dans un post, Phylum explique l'attaque. Le paquet malicieux contient un code à exécuter qui tente d'installer un fichier js externe qui est la véritable attaque. Ces fichiers contiennent des codes obfusqués pour masquer leur fonctionnement. 
"Les attaques ciblant la supply chain sont devenues une préoccupation majeure depuis l'incident Log4Shell en novembre 2021. Trois ans plus tard, nous observons encore des tentatives visant à publier des packages malveillants dans des dépôts open source. Les attaquants exploitent le typosquatting, une technique qui consiste à créer des noms de packages très similaires à ceux des bibliothèques populaires, dans le but de tromper les développeurs et de les inciter à télécharger du code malveillant. Si cette approche n'est pas nouvelle, elle demeure une menace constante et préoccupante." rappelle Scott Caveza, Staff Research Engineer chez Tenable.
Fin octobre, Checkmarx avait expliqué le command-jacking ciblant les gestionnaires de paquets (PyPi, NPM, Auget, Crates, etc.).