Discussion :

[Bill Fassinou]

Des malwares ont �t� d�couverts dans le tr�s populaire paquet npm "ua-parser-js"
notamment un mineur de cryptomonnaie et un cheval de Troie

Les paquets npm deviennent de plus en plus des vecteurs de logiciels malveillants. Les d�veloppeurs ont r�cemment d�couvert que plusieurs versions du paquet npm populaire "ua-parser-js", qui est t�l�charg� des millions de fois par semaine, contiennent du code malveillant. Des pirates auraient d�tourn� le paquet afin de s'en servir pour infecter des dispositifs Linux et Windows avec des logiciels de minage de cryptomonnaies et des chevaux de Troie qui volent des mots de passe dans le cadre d'une attaque de la cha�ne d'approvisionnement. Un pirate distant peut prendre le contr�le d'un appareil qui ex�cute une version infect�e du paquet.

ua-parser-js est d�tourn� pour extraire des cryptomonnaies

Le paquet ua-parser-js est utilis� pour analyser l'agent utilisateur d'un navigateur afin d'identifier le navigateur, le moteur, le syst�me d'exploitation, le processeur et le type/mod�le de p�riph�rique d'un visiteur. Il est tr�s populaire, avec des millions de t�l�chargements (environ 7 millions) par semaine et plus de 24 millions de t�l�chargements depuis le d�but de ce mois. En outre, le paquet est utilis� dans plus d'un millier d'autres projets, y compris ceux de Facebook, Microsoft, Amazon, Instagram, Google, Slack, Mozilla, Discord, Elastic, Intuit, Reddit, et de nombreuses autres entreprises bien connues.

Mais plusieurs versions du paquet ont �t� d�tourn�es pour un usage malveillant. Il semble en effet qu'un ATO (account takeover - prise de contr�le de compte) se soit produit, le compte de l'auteur ayant �t� d�tourn� en raison d'une fuite de mot de passe ou d'une tentative de force brute. � J�ai remarqu� quelque chose d�inhabituel quand mon adresse e-mail a �t� soudainement flood�e par des spams provenant de centaines de sites �, a d�clar� le d�veloppeur d�ua-parser-js, Faisal Salman, dans un rapport de bogue sur GitHub. Il s'est fait pirater et des versions malveillantes de son package avaient �t� publi�es par les attaquants.

Au total, trois nouvelles versions du paquet ont �t� publi�es dans le but d'inciter les utilisateurs � les t�l�charger. Alors que la version pr�c�dente (propre) �tait 0.7.28, l'attaquant a publi� des paquets identiques 0.7.29, 0.8.0 et 1.0.0, chacun contenant du code malveillant activ� � l'installation. L'auteur du paquet a rapidement r�agi en publiant les versions 0.7.30, 0.8.1 et 1.0.1 afin de minimiser le nombre de personnes installant par inadvertance un paquet malveillant. Cette capture d'�cran annot�e des informations du registre montre qu'il s'est �coul� environ 4 heures entre l'attaque et la solution de contournement :

Malheureusement, le code malveillant serait rest� t�l�chargeable environ 3 heures apr�s la correction. Selon des experts, la plupart des paquets malveillants t�l�charg�s quotidiennement sur npm tentent de voler des cl�s d'environnement de mani�re g�n�rique. Cependant, ces versions compromises ciblaient Windows et Linux + macOS d'une mani�re l�g�rement diff�rente. Alors que les versions du script t�l�chargeaient et ex�cutaient une application d'extraction de cryptomonnaies sur macOS et les syst�mes d'exploitation Linux, la version Windows comprenait �galement un cheval de Troie.

Toutefois, les analystes de BleepingComputer - qui ont eu acc�s au code malveillant - ont d�clar� que bien que l'application d'extraction de cryptomonnaies soit pass�e inaper�ue par la majorit� des logiciels antivirus Windows le cheval de Troie aurait �t� d�tect� et arr�t� par au moins une douzaine d'entre eux, dont les plus populaires comme Gdata et Symantec. Dans les cas de Linux et macOS, bien que l'on ne puisse pas �liminer pour le moment la probabilit� qu'il comprenne �galement le cheval de Troie int�gr� � l'outil de minage de cryptomonnaie, l'exp�rience ant�rieure avec ce code indique que ce n'est pas le cas.

Selon les analystes de BleepingComputer, lorsque les paquets compromis sont install�s sur l'appareil d'un utilisateur, un script "preinstall.js" v�rifie le type de syst�me d'exploitation utilis� sur l'appareil et lance soit un script shell Linux, soit un fichier batch Windows. Si le paquet se trouve sur un appareil Linux, un script "preinstall.sh" sera ex�cut� pour v�rifier si l'utilisateur se trouve en Russie, en Ukraine, au Belarus et au Kazakhstan. Si le p�riph�rique n'est pas situ� dans ces pays, le script t�l�chargera le programme "jsextension" depuis 159[.]148[.]186[.]228 et l'ex�cutera.

Le programm jsextension est un mineur de la cryptomonnaie Monero XMRig, qui n'utilisera que 50 % du processeur de l'appareil pour �viter d'�tre facilement d�tect�. Pour les appareils Windows, le fichier batch t�l�charge �galement le mineur de XMRig Monero, l'enregistre sous le nom de "jsextension .exe" [VirusTotal] et l'ex�cute. En outre, le fichier batch t�l�chargera un fichier sdd.dll et l'enregistrera sous le nom de create.dll. La DLL t�l�charg�e est un cheval de Troie voleur de mots de passe (probablement DanaBot) qui tentera de voler les mots de passe stock�s sur l'appareil.

Lorsque la DLL est charg�e � l'aide de la commande regsvr32.exe -s create.dll, elle tente de voler les mots de passe d'une grande vari�t� de programmes, notamment les clients FTP, VNC, les logiciels de messagerie, les clients de messagerie �lectronique et les navigateurs.

Alors, que doivent faire les utilisateurs de ua-parser-js ?

En plus de voler les mots de passe des programmes ci-dessus, la DLL ex�cutera un script PowerShell pour voler les mots de passe du gestionnaire d'identifiants de Windows. Cette attaque semble avoir �t� men�e par le m�me acteur de la menace qui se cache derri�re d'autres paquets npm malveillants d�couverts cette semaine. Les chercheurs de la soci�t� de s�curit� open source Sonatype ont d�couvert trois paquets npm malveillants utilis�s pour d�ployer des applications de minage de cryptomonnaies sur des appareils Linux et Windows d'une mani�re presque identique.

En raison de l'impact g�n�ralis� de cette attaque de la cha�ne d'approvisionnement, il est fortement conseill� � tous les utilisateurs du ua-parser-js de v�rifier l'absence de logiciels malveillants dans leurs projets. Cela implique de v�rifier l'existence de jsextension.exe (Windows) ou de jsextension (Linux) et de les supprimer s'ils sont trouv�s. Pour les utilisateurs de Windows, vous devez analyser votre appareil � la recherche d'un fichier create.dll et le supprimer imm�diatement. Seul Windows a �t� infect� par le cheval de Troie voleur de mots de passe.

Mais il est sage pour les utilisateurs de Linux de supposer que leur appareil a �t� enti�rement compromis. Par ailleurs, WhiteSource - une soci�t� qui analyse les composants open source � la recherche de vuln�rabilit� - estime que vous �tes responsable de votre cha�ne d'approvisionnement en logiciels libres. Selon lui, cet incident n'est que la partie �merg�e de l'iceberg des incidents qui se produisent dans l'�cosyst�me npm.

WhiteSource dit avoir identifi� et signal� au cours du mois dernier plus de 350 paquets npm uniques comportant une ou plusieurs versions malveillantes, soit prises en charge via des ATO, soit cr��es dans le seul but de causer divers types de dommages aux utilisateurs finaux. Ainsi, pour pr�venir les attaques de la cha�ne d'approvisionnement, il vous recommande de ne jamais utiliser le m�me mot de passe pour plusieurs sites Web et de toujours activer le 2FA (l'authentification � double facteur) si vous �tes un responsable de paquets.

Source : Rapport de bogue pour ua-parser-js

Et vous ?

Quel est votre avis sur le sujet ?
Avez-vous �t� infect� par les versions malveillantes du paquet ua-parser-js ? Si oui, quels ont �t� les impacts ?
Que pensez-vous du d�tournement r�p�t� des paquets npm populaires au cours des derniers mois ? L'�cosyst�me est-il toujours s�r ?

Voir aussi

Quatre packages npm trouv�s en train d'ouvrir des shells sur des syst�mes Linux et Windows. Tout ordinateur avec l'un de ces packages install�s � doit �tre consid�r� comme totalement compromis �

Un projet Node.js sur deux audit� par les outils de npm aurait au moins une vuln�rabilit�, une sur dix d'entre elles est critique

Des hackers ont gliss� une porte d�rob�e dans une biblioth�que open source largement utilis�e pour voler des bitcoins

Plus de 75% des vuln�rabilit�s dans les projets open source r�sident dans des d�pendances indirectes, plut�t que dans les composants directement charg�s

[Fagus]

Que pensez-vous du d�tournement r�p�t� des paquets npm populaires au cours des derniers mois ? L'�cosyst�me est-il toujours s�r ?

La r�ponse est dans la question

Je ne connais pas la s�curisation de npm, mais le probl�me para�t plus large. Sur github, c'est beaucoup laiss� � l'initiative de l'utilisateur
Il y a un support des cl�s SSH sur yubikey par github, mais que depuis quelques mois.

Il y a aussi la signature des contributions par GPG mais c'est "optionnel" et au pire si ce n'est pas sign�, github n'affiche rien.
D'ailleurs, sur la page de l'auteur, on voit que parfois il signe, parfois non... et il n'y a pas d'option sur github pour que ce soit obligatoire, alors qu'� priori, vu l'anciennet� de GPG, stoker sa cl� priv�e sur token est assez faisable. (Mais quel % de d�v le fait ?)

[Bill Fassinou]

La biblioth�que npm populaire "coa" est d�tourn�e pour voler les mots de passe des utilisateurs
le paquet npm "rc" serait �galement compromis

Ces derniers mois, les biblioth�ques npm semblent �tre frapp�es par une vague de d�tournement � des fins malveillantes. Apr�s ua-parser-js, qui a �t� d�tourn� le mois pass� pour miner des cryptomonnaies, c'est au tour de coa et rc, deux paquets npm ayant fait l'objet de 23 millions de t�l�chargements hebdomadaires. Dans le cas de coa, le d�tournement de la biblioth�que impacte de mani�re �ph�m�re les pipelines React dans le monde entier. Apr�s analyse, l'�quipe npm a d�clar� que le logiciel malveillant identifi� dans le d�tournement de rc �tait identique � celui distribu� dans le d�tournement de coa.

Les paquets npm en proie � une vague de d�tournement

Le jeudi 4 novembre 2021, � peine plus d'une semaine apr�s le d�tournement de ua-parser-js, une autre biblioth�que npm populaire appel�e coa (Command-Option-Argument), utilis�e dans les paquets React du monde entier, a �t� d�tourn�e pour distribuer un malware voleur d'informations d'identification. Les d�veloppeurs ont remarqu� que quelque chose n'allait pas lorsque de nouvelles versions �tranges de coa sont apparues sur npm, brisant les constructions de logiciels. Le paquet coa recevrait environ 9 millions de t�l�chargements hebdomadaires sur npm, et serait utilis� par pr�s de 5 millions de d�p�ts open source sur GitHub.

Versions d�tourn�es du paquet npm coa

coa est un analyseur d'options en ligne de commande pour les projets Node.js. La derni�re version stable 2.0.2 du projet a �t� publi�e en d�cembre 2018. Cependant, plusieurs versions suspectes 2.0.3, 2.0.4, 2.1.1, 2.1.3 et 3.1.3 ont commenc� � appara�tre sur npm jeudi, brisant les constructions React qui d�pendent de coa. � Je ne suis pas s�r de la raison ou de ce qui s'est pass�, mais il y a 10 minutes, il y a eu une version (m�me si la derni�re modification sur GitHub date de 2018). Quoi que cette version ait fait, elle a cass� Internet �, a d�clar� Roberto Wesley Overdijk, un d�veloppeur React.

Plusieurs d�veloppeurs ont rejoint la discussion, confirmant avoir rencontr� des probl�mes avec leurs constructions depuis que les nouvelles versions de coa ont fait leur apparition sur npm. Dans la m�me journ�e, il a �t� constat� qu'un autre composant npm couramment utilis�, rc, avait �galement �t� d�tourn�. La biblioth�que rc est un chargeur de configuration et fait l'objet de 14 millions de t�l�chargements par semaine en moyenne. Selon les d�veloppeurs ayant signal� le d�tournement, les deux paquets auraient �t� compromis � peu pr�s au m�me moment et r�sultent de l'acc�s des attaquants au compte d'un d�veloppeur de paquets.

� Le compte [de d�veloppeur] compromis a �t� temporairement d�sactiv� et nous enqu�tons activement sur l'incident et surveillons toute activit� similaire �, a d�clar� l'�quipe npm jeudi, peu apr�s avoir d�tect� la compromission de coa suite � une vague de rapports sur des constructions rat�es. Selon le m�dia BleepingComputer - qui a analys� les versions comprises de coa et rc - une fois les comptes pirat�s, l'acteur de la menace a ajout� un script de post-installation � la base de code originale qui ex�cute un TypeScript obfusqu�, v�rifie les d�tails du syst�me d'exploitation et t�l�charge un script batch Windows ou bash Linux.

Code JavaScript obfusqu� pr�sent dans le fichier compile.js

En outre, cet incident fait suite au piratage, le mois dernier, d'une autre biblioth�que npm populaire, ua-parser-js, utilis�e par Facebook, Microsoft, Amazon, Reddit et d'autres grandes entreprises technologiques. Le logiciel malveillant contenu dans les versions pirat�es de coa, tel qu'analys� par BleepingComputer, serait pratiquement identique au code trouv� dans les versions d�tourn�es de ua-parser-js, �tablissant potentiellement un lien entre les acteurs de la menace derri�re les deux incidents. Selon BleepingComputer, le logiciel malveillant est probablement le cheval de Troie voleur de mots de passe Danabot pour Windows.

Lorsqu'il est charg�, Danabot ex�cute les diff�rentes activit�s malveillantes suivantes :

• voler les mots de passe de divers navigateurs Web, notamment Chrome, Firefox, Opera, Internet Explorer et Safari ;
• voler les mots de passe de diverses applications, notamment VNC, les applications de casino en ligne, les clients FTP et les comptes de messagerie ;
• voler les cartes de cr�dit enregistr�es ;
• prendre des captures d'�cran des �crans actifs ;
• enregistrer les frappes au clavier.

Toutes ces donn�es vol�es sont ensuite renvoy�es aux acteurs de la menace pour leur permettre de violer les autres comptes des victimes. Apr�s la d�couverte de la compromission des deux paquets, l'�quipe npm a d�clar� qu'elle a supprim� les versions compromises et a propos� des mesures d'att�nuation. � Si j'ai bien compris, npm a supprim� les versions compromises et a bloqu� temporairement la publication de nouvelles versions pendant la r�cup�ration de l'acc�s au paquet. Aucun correctif ne devrait �tre n�cessaire puisque les versions compromises ont �t� supprim�es �, explique Overdijk.

Quelles sont les mesures d'att�nuation recommand�es ?

En raison de l'impact �tendu de cette attaque de la cha�ne d'approvisionnement, il est fortement conseill� � tous les utilisateurs des biblioth�ques coa et rc de v�rifier l'absence de logiciels malveillants dans leurs projets. Cela inclut la v�rification de l'existence de compile.js, compile.bat, sdd.dll et la suppression des fichiers s'ils sont trouv�s. �tant donn� que cette variante de "sdd.dll" a �galement �t� identifi�e comme un cheval de Troie sur VirusTotal, et que celle d�pos�e par ua-parser-js �tait un voleur d'informations d'identification, les utilisateurs infect�s doivent �galement consid�rer que leur appareil est enti�rement compromis.

Le cheval de Troie voleur de mot de passe lanc� par Rundll

De ce fait, ils doivent changer leurs mots de passe, cl�s et jetons d'actualisation, car ils ont probablement �t� compromis et envoy�s � l'acteur de la menace. � Les utilisateurs des versions affect�es (2.0.3 et plus) doivent r�trograder vers 2.0.2 d�s que possible et v�rifier leurs syst�mes pour d�tecter toute activit� suspecte. Voir ce num�ro pour plus de d�tails au fur et � mesure. Tout ordinateur sur lequel ce paquet est install� ou en cours d'ex�cution doit �tre consid�r� comme enti�rement compromis �, ont d�clar� jeudi les mainteneurs de la biblioth�que coa.

� Tous les secrets et les cl�s stock�s sur cet ordinateur doivent �tre imm�diatement transf�r�s sur un autre ordinateur. Le paquet doit �tre supprim�, mais comme le contr�le total de la machine peut avoir �t� donn� � une entit� tierce, il n'y a aucune garantie que la suppression du paquet supprimera tous les logiciels malveillants r�sultant de son installation �, ont-ils ajout�. Les conseils partag�s dans la discussion originale sur GitHub incluent l'�pinglage de la version npm � la version stable "2.0.2". Les instructions d'att�nuation pour le paquet rc sont identiques aux pr�c�dentes. Les versions du paquet rc concern�es sont 1.2.9, 1.3.9, et 2.3.9.

Les utilisateurs doivent r�trograder � la version 1.2.8 d�s que possible et v�rifier leurs syst�mes pour toute activit� suspecte. � � la suite d'enqu�tes en cours, nous avons identifi� en temps r�el de multiples versions du paquet rc contenant des logiciels malveillants identiques � ceux du paquet coa. Les versions malveillantes de rc ont �t� imm�diatement supprim�es du registre et nous avons publi� un avis �, a d�clar� l'�quipe npm, qui attribue l'incident � un compte npm compromis et recommande aux responsables de paquets npm d'utiliser une authentification � deux facteurs pour pr�venir de telles attaques.

Sources : Paquet "coa" (1,2), Paquet "rc" (1, 2)

Et vous ?

Quel est votre avis sur le sujet ?
Selon vous, pourquoi les paquets npm sont r�guli�rement d�tourn�s ?
Avez-vous �t� affect� par l'un de ces paquets compromis ? Si oui, comment vous en �tes-vous sorti ?

Voir aussi

Des logiciels malveillants ont �t� d�couverts dans le tr�s populaire paquet npm "ua-parser-js", notamment un mineur de cryptomonnaie et un cheval de Troie

La sp�cification des nouvelles fonctionnalit�s de la norme ECMAScript 2021 est termin�e. Tour d'horizon des nouveaut�s introduites dans cette nouvelle version

Un package npm malveillant ouvre des portes d�rob�es sur les ordinateurs des programmeurs, le code JavaScript douteux se faisant passer pour une biblioth�que li�e � la plateforme Twilio

Quatre packages npm trouv�s en train d'ouvrir des shells sur des syst�mes Linux et Windows. Tout ordinateur avec l'un de ces packages install�s � doit �tre consid�r� comme totalement compromis �

[TotoParis]

Absolument merveilleux...

[Kelevra]

mouhaha j'en parle � mon pote qui est dans le 'git game' son commentaire :
"et puis npm c'est pas r�put� pour �tre les gens les plus carr�s
ils sont plus occup�s de parler de leur non binarit� et de leurs cheveux bleu que de coder"

[Doksuri]

je pense qu'une idee serait d'autoriser la publication d'un code sur npm qu'en version claire (non obfusquee & non minifiee)
et c'est a chaqun d'utiliser un outil pour minifier les fichiers s'il le souhaite..
ca n'empecherai pas les hacks, mais ca aiderai a les trouver/signaler

[Bill Fassinou]

Les paquets npm malveillants font partie d'un "d�ferlement" de logiciels malveillants qui frappent les r�f�rentiels
la popularit� des paquets en fait de parfaits vecteurs d'attaques

Les paquets npm continuent d'�tre d�tourn�s pour �tre utilis�s comme des vecteurs de logiciels malveillants par les pirates informatiques. Apr�s les paquets "ua-parser-js", "rc" et "coa", la soci�t� de s�curit� JFrog a d�couvert 17 nouveaux paquets malveillants dans le d�p�t npm (le gestionnaire de paquets Node.js). Ces paquets corrompus cherchent intentionnellement � attaquer et � voler les informations d'identification du site d'un utilisateur. Les chercheurs ont rapport� que la plupart des paquets signal�s volaient des informations d'identification ou d'autres informations pour les serveurs Discord.

Le d�p�t npm, o� environ 11 millions de d�veloppeurs �changent plus d'un million de paquets entre eux, inqui�te de plus en plus les utilisateurs. Le nombre de paquets qui ont �t� d�tourn�s pour �tre utilis�s comme des logiciels malveillants a consid�rablement augment� cette ann�e. Les attaquants y ins�rent g�n�ralement des mineurs de cryptomonnaies ou des chevaux de Troie. Cette fois, la plupart des 17 paquets malveillants semblent avoir �t� diffus�s par diff�rents acteurs de la menace qui ont utilis� divers techniques et efforts pour inciter les d�veloppeurs � t�l�charger des logiciels malveillants au lieu des logiciels b�nins pr�vus.

Cette derni�re d�couverte s'inscrit dans la continuit� d'une tendance rep�r�e il y a quelques ann�es, selon laquelle des acteurs malveillants glissent en douce des voleurs d'informations, des enregistreurs de frappe ou d'autres types de logiciels malveillants dans des paquets disponibles dans npm, RubyGems, PyPi ou un autre r�f�rentiel. Dans de nombreux cas, le nom du paquet malveillant est diff�rent d'une seule lettre de celui d'un paquet l�gitime. Souvent, le paquet malveillant comprend le m�me code et les m�mes fonctionnalit�s que le paquet dont il usurpe l'identit� et ajoute du code cach� qui ex�cute des actions n�fastes suppl�mentaires.

� Nous assistons � un r�cent d�ferlement de logiciels malveillants h�berg�s et diffus�s par le biais de d�p�ts de logiciels open source �, ont expliqu� dans un billet de blogue mercredi les chercheurs Andrey Polkovnychenko et Shachar Menashe de JFrog. � Les d�p�ts publics sont devenus un instrument pratique pour la distribution de logiciels malveillants : le serveur du d�p�t est une ressource de confiance, et la communication avec lui n'�veille les soup�ons d'aucun antivirus ou pare-feu. En outre, la facilit� d'installation via des outils d'automatisation tels que le client npm, fournit un vecteur d'attaque m�r �, ont-ils ajout�.

Ainsi, une grande partie des paquets signal�s par l'�quipe de recherche volaient des informations d'identification ou d'autres informations pour les serveurs Discord. Discord est devenu une plateforme populaire permettant aux gens de communiquer par texte, voix et vid�o. Il compte d�sormais maintenant plus de 350 millions d'utilisateurs enregistr�s. Les serveurs compromis peuvent �tre utilis�s comme canaux de commande et de contr�le pour les botnets ou comme proxy lors du t�l�chargement de donn�es depuis un serveur pirat�. Certains paquets ont vol� des donn�es de cartes de cr�dit associ�es � des comptes Discord pirat�s.

Deux paquets - discord-lofy et discord-selfbot-v14 - proviennent d'un auteur utilisant le nom de davisousa. Ils sont pr�sent�s comme des modifications de la biblioth�que l�gitime populaire discord.js, qui permet l'interaction avec l'API Discord. Selon les chercheurs, le logiciel malveillant int�gre la biblioth�que originale discord.js comme base et injecte ensuite du code malveillant obfusqu� dans l'un des fichiers du paquet. Ils ont ajout� que la version obfusqu�e du code est �norme : � plus de 4 000 lignes de code illisible et contenant toutes les m�thodes d'obfuscation possibles �.

Ils citent, entre autres : noms de variables tronqu�s, cha�nes chiffr�es, aplatissement du code, etc. Gr�ce � une analyse manuelle et � l'utilisation de scripts, ils ont pu d�sobfusquer le paquet et, selon les chercheurs, sa charge utile finale est assez simple : la charge utile it�re simplement sur les dossiers de stockage local des navigateurs connus (et les dossiers sp�cifiques � Discord), puis y recherche des cha�nes ressemblant � un jeton Discord en utilisant une expression r�guli�re. Par la suite, tout jeton trouv� est renvoy� via HTTP POST au serveur cod� en dur "https://aba45cf.glitch.me/polarlindo".

� En raison de la popularit� de cette charge utile d'attaque, de nombreux programmes d'acquisition de jetons Discord, accompagn�s d'instructions de construction, ont �t� publi�s sur GitHub. Un attaquant peut prendre l'un de ces mod�les et d�velopper un logiciel malveillant personnalis� sans avoir de grandes comp�tences en programmation - ce qui signifie que n'importe quel pirate novice peut le faire facilement en quelques minutes �, expliquent les chercheurs. Un autre paquet nomm� fix-error pr�tendait r�parer des erreurs dans un "selfbot" de Discord.

Il contenait �galement un code malveillant qui avait �t� obfusqu�, mais qui, dans ce cas, �tait beaucoup plus facile � d�sobfusquer pour les chercheurs. Les chercheurs ont rapidement d�termin� que le code cach� �tait une version vol�e de PirateStealer, une application qui vole les informations de carte de cr�dit, les identifiants de connexion et d'autres donn�es priv�es stock�es dans un client Discord. Elle fonctionne en injectant un code JavaScript malveillant dans le client Discord. Ce code "espionne" ensuite l'utilisateur et envoie les informations vol�es � une adresse cod�e en dur.

Un troisi�me exemple est prerequests-xcode, un paquet qui contient une fonctionnalit� de cheval de Troie d'acc�s � distance. � En inspectant le code du paquet, nous avons identifi� qu'il contient un port Node.JS de DiscordRAT (�crit � l'origine en Python) qui donne � l'attaquant un contr�le total sur la machine de la victime. Le logiciel malveillant est obfusqu� par l'outil en ligne populaire obfuscator.io, mais dans ce cas, il suffit d'inspecter la liste des commandes disponibles pour comprendre la fonctionnalit� du RAT (copi� mot � mot) �, ont expliqu� les chercheurs.

Comme indiqu� pr�c�demment, npm n'est pas le seul d�p�t de logiciels libres � �tre infiltr� par des paquets malveillants. Le d�p�t PyPi pour Python a vu sa part de paquets charg�s de logiciels malveillants, tout comme RubyGems. Par ailleurs, les chercheurs mettent en garde que les personnes qui t�l�chargent des paquets open source doivent s'assurer que l'�l�ment qu'elles t�l�chargent est l�gitime et qu'il ne s'agit pas d'un logiciel malveillant se faisant passer pour quelque chose de l�gitime. Les grandes organisations qui utilisent beaucoup de logiciels open source peuvent trouver utile d'acheter des services de gestion de paquets.

Source : JFrog

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous du d�tournement continu des paquets npm ?
Avez-vous d�j� eu � faire l'un de ces paquets contenant des logiciels malveillants ? Si oui, partagez votre exp�rience.

Voir aussi

Des logiciels malveillants ont �t� d�couverts dans le tr�s populaire paquet npm "ua-parser-js", notamment un mineur de cryptomonnaie et un cheval de Troie

Un package npm malveillant ouvre des portes d�rob�es sur les ordinateurs des programmeurs, le code JavaScript douteux se faisant passer pour une biblioth�que li�e � la plateforme Twilio

La biblioth�que npm populaire "coa" est d�tourn�e pour voler les mots de passe des utilisateurs, le paquet npm "rc" serait �galement compromis

Quatre packages npm trouv�s en train d'ouvrir des shells sur des syst�mes Linux et Windows. Tout ordinateur avec l'un de ces packages install�s � doit �tre consid�r� comme totalement compromis �

[walfrat]

J'ai une question : qu'en est-il de Maven au juste pour le monde Java ?

Dois-je m'inqui�ter du fait qu'on en entend pas parler ?