Deux Paquets NPM Malveillants Découverts
Des chercheurs en cybersécurité ont récemment identifié deux paquets malveillants sur le registre npm qui comportaient du code de porte dérobée (backdoor) permettant d’exécuter des commandes malveillantes envoyées depuis un serveur distant.
Les paquets en question, nommés img-aws-s3-object-multipart-copy et legacyaws-s3-object-multipart-copy, ont été téléchargés respectivement 190 et 48 fois. Heureusement, l’équipe de sécurité de npm les a depuis supprimés.
« Ces paquets contenaient une fonctionnalité de commande et de contrôle sophistiquée cachée dans des fichiers image exécutée lors de l’installation du paquet, » a expliqué Phylum, une entreprise de sécurité de la chaîne d’approvisionnement logicielle, dans une analyse approfondie.
Ces paquets sont conçus pour imiter une bibliothèque npm légitime appelée aws-s3-object-multipart-copy, mais incluent une version modifiée du fichier « index.js » pour exécuter un fichier JavaScript appelé « loadformat.js ».
Fonctionnalité Cachée et Comportement Malveillant
Le fichier JavaScript malveillant est conçu pour traiter trois images qui affichent les logos d’entreprise d’Intel, Microsoft et AMD. L’image correspondant au logo de Microsoft est utilisée pour extraire et exécuter le contenu malveillant.
Le code fonctionne en enregistrant le nouveau client auprès d’un serveur de commande et de contrôle (C2) en envoyant le nom d’hôte et les détails du système d’exploitation. Ensuite, le code tente d’exécuter des commandes émises par l’attaquant toutes les cinq secondes.
Enfin, le résultat de l’exécution des commandes est exfiltré vers l’attaquant via un point d’accès spécifique.
Selon une analyse d’The Hacker News, ces techniques avancées de dissimulation font partie d’une tendance croissante dans les logiciels malveillants ciblant les écosystèmes open source. Par le passé, diverses attaques similaires ont utilisé des méthodes comme le typosquatting, où des paquets malveillants imitent des bibliothèques populaires avec des noms presque identiques.
Au cours des dernières années, la quantité et la sophistication des paquets malveillants publiés dans des écosystèmes open source ont augmenté de manière dramatique. « Ne vous y trompez pas, ces attaques sont couronnées de succès. Il est absolument impératif que les développeurs et les organisations de sécurité soient conscients de ce fait et restent extrêmement vigilants concernant les bibliothèques open source qu’ils consomment, » a averti Phylum.
Pour résumer, cette découverte souligne l’importance de la vigilance continue lorsque vous travaillez avec des bibliothèques open source. Les développeurs doivent régulièrement vérifier la sécurité des paquets qu’ils téléchargent et utiliser des outils d’analyse de sécurité pour détecter toute activité suspecte.
Si vous avez trouvé cet article intéressant, suivez-nous sur Twitter et LinkedIn pour lire plus de contenus exclusifs que nous publions.
Implications sécuritaires : Ce que vous devez savoir
L’infiltration de paquets malveillants dans des registres open source comme npm comporte des risques significatifs pour les individus et les entreprises. Une fois installés, ces paquets peuvent exécuter des commandes malveillantes à distance, ce qui permet aux attaquants de voler des données sensibles ou de corrompre les systèmes. Le fait que des paquets malveillants puissent être téléchargés avant d’être détectés et supprimés met en lumière la vulnérabilité des chaînes d’approvisionnement logicielles actuelles.
Protégez-vous : Étapes clés contre les nouvelles vulnérabilités
Pour se protéger contre ces menaces, il est essentiel d’appliquer les meilleures pratiques de cybersécurité. Les développeurs doivent vérifier l’authenticité des paquets avant de les installer, utiliser des outils de gestion des dépendances pour surveiller les mises à jour et effectuer des audits réguliers des paquets utilisés. L’intégration de solutions de sécurité comme les flux de menaces de Phylum peut également fournir une couche supplémentaire de protection en détectant et en bloquant les logiciels malveillants avant qu’ils ne soient installés.
