Paquets npm malveillants : est-ce grave ?

Sonatype a déclaré avoir découvert 14 paquets npm différents jusqu’à présent : @am-fe/hooks, @am-fe/provider, @am-fe/request, @am-fe/utils, @am-fe/watermark, @am-fe/watermark-core, @dynamic-form-components/mui, @dynamic-form-components/shineout, @expue/app, @fixedwidthtable/fixedwidthtable, @soc-fe/use, @spgy/eslint-plugin-spgy-fe, @virtualsearchtable/virtualsearchtable, et shineouts.

« Ces paquets […] tentent de se faire passer pour des bibliothèques et des composants JavaScript, tels que les plugins ESLint et les outils SDK TypeScript », a déclaré la société de sécurité de la chaîne d’approvisionnement en logiciels. « Mais dès l’installation, de multiples versions de ces paquets ont exécuté un code obscurci pour collecter et siphonner des fichiers sensibles sur la machine cible. »

Outre la configuration de Kubernetes et les clés SSH, les modules sont également capables de récolter des métadonnées système telles que le nom d’utilisateur, l’adresse IP et le nom d’hôte ; toutes ces données sont transmises à un domaine nommé app.threatest[.]com.

Cette révélation intervient un peu plus d’une semaine après que Sonatype a détecté des paquets npm contrefaits qui exploitent une technique connue sous le nom de confusion de dépendance pour se faire passer pour des paquets internes prétendument utilisés par les développeurs de PayPal Zettle et d’Airbnb dans le cadre d’une expérience de recherche éthique. Cela dit, les acteurs de la menace continuent de cibler les registres de logiciels libres comme npm et PyPI avec des cryptojackers, des voleurs d’informations et d’autres nouveaux logiciels malveillants pour compromettre les systèmes des développeurs et, en fin de compte, empoisonner la chaîne d’approvisionnement en logiciels.
Dans un cas mis en évidence par Phylum au début de ce mois, un module npm nommé hardhat-gas-report est resté bénin pendant plus de huit mois depuis le 6 janvier 2023 avant de recevoir deux mises à jour consécutives le 1er septembre 2023 pour inclure un JavaScript malveillant capable d’exfiltrer les clés privées Ethereum copiées dans le presse-papiers vers un serveur distant.

« Cette approche ciblée indique une compréhension sophistiquée de la sécurité des crypto-monnaies et suggère que l’attaquant vise à capturer et à exfiltrer des clés cryptographiques sensibles pour un accès non autorisé aux portefeuilles Ethereum ou à d’autres actifs numériques sécurisés », a déclaré la société.

Un autre cas de tentative d’attaque de la chaîne d’approvisionnement implique un paquet npm astucieux appelé gcc=patch qui se fait passer pour un compilateur GCC sur mesure, mais qui abrite en réalité un mineur de crypto-monnaie qui « exploite secrètement la puissance de calcul de développeurs innocents, dans le but de profiter à leurs dépens ». De plus, ces campagnes se sont diversifiées pour couvrir les écosystèmes Javascript (npm), Python (PyPI) et Ruby (RubyGems). Les acteurs de la menace téléchargent plusieurs paquets avec des capacités de collecte et d’exfiltration de données avant de publier de nouvelles versions contenant des charges utiles malveillantes.

La campagne cible spécifiquement les utilisateurs de macOS d’Apple, ce qui indique que les logiciels malveillants dans les dépôts de paquets open=source ne sont pas seulement de plus en plus répandus, mais qu’ils ciblent également d’autres systèmes d’exploitation que Windows.

« L’auteur de ces paquets organise une vaste campagne contre les développeurs de logiciels », note Phylum dans une analyse. « L’objectif final de cette campagne n’est pas clair.