Les chercheurs en cybersécurité ont récemment mis en lumière une menace préoccupante visant les développeurs utilisant les plateformes npm et PyPI. Des pirates informatiques déploient des packages malveillants capables de voler les données sensibles, y compris les clés privées des portefeuilles Solana, tout en exploitant le service légitime SMTP de Gmail pour contourner les systèmes de sécurité. Cette méthode sophistiquée de vol de données illustre une hausse alarmante des attaques ciblant la chaîne d’approvisionnement des logiciels open source.
Des packages npm ciblent les portefeuilles Solana
Parmi la liste des packages malveillants identifiés sur npm, plusieurs tentent spécifiquement de s’attaquer aux utilisateurs de la blockchain Solana. Ces packages, tels que solana-transaction-toolkit et solana-stable-web-huks, prétendent offrir des outils pour les transactions Solana, mais sont en réalité des outils de vol de données sophistiqués.
Un plan bien orchestré
Ces packages malveillants interceptent les clés privées des portefeuilles Solana et les transmettent aux attaquants via les serveurs Gmail SMTP. Cette technique, utilisant un service légitime, permet de contourner les solutions de sécurité telles que les pare-feux ou les détections des points d’accès. De plus, les packages comme solana-transaction-toolkit drainent automatiquement jusqu’à 98 % des fonds des portefeuilles compromis vers des adresses contrôlées par les attaquants.
Liens avec des repositories GitHub compromis
Les chercheurs en cybersécurité ont identifié des repositories GitHub associés à ces packages malveillants, comme ceux des comptes « moonshot-wif-hwan » et « Diveinprogramming ». Ces dépôts, prétendument destinés aux développeurs travaillant sur des projets Solana, renferment des scripts intégrant directement les bibliothèques malware. Cette tactique vise les utilisateurs cherchant des outils liés aux crypto-monnaies, exposant un nombre encore plus vaste de développeurs.
Des packages dotés de fonctions destructrices
Outre le vol de données, un autre aspect inquiétant des attaques récentes concerne les fonctionnalités destructrices intégrées dans certains packages malveillants. Les typosquats comme chokidar et chalk ont été ciblés pour diffuser des bibliothèques qui incluent des commandes capables d’effacer des fichiers critiques.
La fonction « Kill Switch »
Les cybercriminels ont inséré une fonction baptisée « kill switch » dans plusieurs packages, conçue pour effacer les fichiers des répertoires spécifiques dès qu’un certain code est reçu par le serveur. Par exemple, le package csbchalk-next exécute une suppression massive de données uniquement lorsque le serveur renvoie un code « 202 », rendant l’attaque encore plus pernicieuse.
Des menaces sur les développeurs Python
Les utilisateurs de la bibliothèque PyPI ne sont pas en reste. Le package malveillant pycord-self cible les développeurs Python travaillant sur des projets liés à Discord en capturant des tokens d’authentification et en établissant un accès malveillant persistant via des serveurs contrôlés par les attaquants. Cette méthode permet aux pirates de compromettre les systèmes tant sous Windows que sous Linux.
Attaques similaires visant les utilisateurs de Roblox
Ces incidents s’inscrivent dans une tendance croissante où les utilisateurs de plateformes populaires, comme Roblox, sont également ciblés par des librairies développées pour propager des malwares. Par exemple, des packages frauduleux sur PyPI ont été utilisés pour diffuser des logiciels voleurs tels que Skuld et Blank-Grabber. Ces logiciels malveillants, souvent déguisés en cheats ou mods pour Roblox, exploitent la curiosité des utilisateurs et compromettent leurs systèmes.
Dans un monde où la chaîne d’approvisionnement numérique est de plus en plus exposée aux risques, les solutions de sécurité proposées par CyberCare aident les organisations à protéger efficacement leurs environnements de développement contre de telles menaces sophistiquées. Pensez à tester notre service d’analyse des dépendances pour sécuriser vos projets.