Cybersécurité : alerte sur des paquets npm piégés

Cybersécurité : alerte sur des paquets npm piégés

Les développeurs Ethereum utilisant des outils open source font face à une menace croissante. Une nouvelle campagne de cybercriminalité exploite des paquets npm malveillants, conçus pour imiter l’environnement de développement populaire Hardhat, afin de voler des données sensibles comme des clés privées et des phrases mnémoniques. Ces attaques révèlent les faiblesses de la chaîne d’approvisionnement logicielle et soulèvent de sérieuses inquiétudes sur la sécurité des écosystèmes open source.

des paquets npm malveillants ciblent les développeurs ethereum

des faux paquets reproduisent l’outil hardhat pour voler des données

Des cybercriminels exploitent la confiance dans le développement open source en publiant des paquets npm malveillants qui se font passer pour l’environnement de développement Ethereum Hardhat. Cet outil, développé par la Nomic Foundation, est largement utilisé pour déployer des smart contracts et des dApps. Parmi les faux paquets identifiés, on retrouve des noms comme « nomicsfoundations », « @nomisfoundation/hardhat-configure » et « @nomicsfoundation/sdk-test ».

Un de ces paquets, « @nomicsfoundation/sdk-test », a été téléchargé plus de 1 000 fois depuis son apparition en octobre 2023. Une fois installés, ces paquets malveillants s’intègrent dans l’environnement runtime de Hardhat, collectant des informations sensibles telles que des clés privées et des fichiers de configuration, avant de les exfiltrer vers des serveurs contrôlés par des attaquants.

une exploitation ciblée de l’écosystème open source

Les paquets malveillants compromettent directement les développeurs au cœur de la blockchain Ethereum. Les attaquants utilisent des fonctions identifiées comme « hreInit() » et « hreConfig() » pour infiltrer les systèmes et envoyer les données collectées grâce à des adresses Ethereum et des clés préconfigurées. Cette approche met en lumière les vulnérabilités omniprésentes dans les outils de développement open source.

une campagne plus vaste ciblant d’autres écosystèmes open source

des outils d’évaluation de sécurité mal utilisés

Outre Hardhat, les chercheurs en cybersécurité ont découvert des bibliothèques malveillantes sur d’autres écosystèmes comme npm, PyPI et RubyGems. Ces faux paquets, comme « monoliht » ou « adobe-dcapi-web », détournent des outils d’évaluation de sécurité d’applications pour exfiltrer des données sensibles à l’aide de requêtes DNS. L’objectif est souvent de collecter des métadonnées système ou d’établir des canaux de commande et de contrôle pour des attaques sophistiquées.

les cybercriminels tirent profit de la complexité des dépendances

Un acteur de menace nommé « _lain » a été identifié derrière certaines de ces campagnes, notamment l’utilisation de smart contracts Ethereum pour masquer des adresses de serveurs C2 dans un botnet blockchain appelé MisakaNetwork. En manipulant la complexité des dépendances entre paquets, « _lain » tire parti du fait qu’il est pratiquement impossible pour les développeurs d’examiner minutieusement chaque dépendance, créant ainsi des opportunités pour introduire du code malveillant.

comment protéger les environnements de développement contre ces attaques

bonnes pratiques pour sécuriser les projets open source

Pour faire face à ces risques, les développeurs doivent adopter une vigilance accrue en vérifiant l’authenticité des bibliothèques qu’ils intègrent. Cela inclut le contrôle des noms de paquets, l’examen du contenu du code source et la validation de la provenance des outils utilisés pour éviter les pièges de la chaîne d’approvisionnement logicielle.

services de cybersécurité pour sécuriser la chaîne d’approvisionnement logicielle

Les solutions modernes de cybersécurité, telles que les outils d’analyse de dépendances et les scanners de paquets, peuvent détecter les anomalies dans les projets. Des audits réguliers, combinés à des systèmes de surveillance des paquets open source, constituent des mesures essentielles pour lutter contre ces menaces.

Chez CyberCare, nous proposons des services avancés pour protéger vos développements logiciels contre les attaques de la chaîne d’approvisionnement, garantissant la sécurité de vos projets et des données critiques associées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *