Des modules NPM malveillants téléchargés des milliers de fois

Encore plus de code Javascript malveillant a été découvert dans des modules disponibles sur le référentiel NPM open source, affirment des chercheurs de ReversingLabs, soulignant la découverte la plus récente de bibliothèques non fiables sur des sites open source.

Source: WhataWin / Getty

La société a déclaré avoir trouvé plus de deux douzaines de modules malveillants datant de six mois contenant du Javascript camouflé conçu pour voler des données de formulaire à des personnes utilisant des applications ou des sites Web sur lesquels les modules malveillants avaient été déployés.

Les chercheurs l’ont décrit comme une « attaque concertée de la chaîne d’approvisionnement ».

« Bien que l’étendue de cette attaque ne soit pas encore connue, les modules malveillants que nous avons découverts sont probablement utilisés en aval par des centaines, voire des milliers d’applications mobiles et de bureau ainsi que des sites Web », indique le rapport. « Dans un des cas, un module malveillant avait été téléchargé plus de 17 000 fois. »

Les attaquants s’appuient sur le « typo-squatting », en nommant leurs modules avec des noms similaires à ceux de modules légitimes ou des fautes d’orthographe courantes. Parmi ceux dont l’identité est usurpée figurent des modules à fort trafic comme umbrellajs (le faux module s’appelle umbrellaks) et des modules publiés par ionic.io .

Les similitudes entre les domaines utilisés pour exfiltrer les données suggèrent que les différents modules de cette campagne sont sous le contrôle d’un seul acteur, ajoute le rapport.

NPM est l’une des nombreuses bibliothèques open source de progiciels utilisés par les développeurs dans leurs applications. D’autres sont PyPI, Ruby et NuGet.

La découverte récente de code malveillant dans ces bibliothèques ne fait que souligner la nécessité pour les développeurs d’applications de contrôler de près le code qu’ils téléchargent à partir de sites Web open source. Un outil qu’ils peuvent utiliser est un « désobfuscateur » javascript pour examiner le code camouflé – en soi un signe suspect.

« Les modules NPM identifiés par notre équipe ont été collectivement téléchargés plus de 27 000 fois. Comme très peu d’organisations de développement ont la capacité de détecter le code malveillant dans les bibliothèques et les modules open source, les attaques ont persisté pendant des mois avant d’attirer notre attention. Bien que quelques-uns des modules identifiés ont été supprimés de NPM, la plupart sont toujours disponibles au téléchargement au moment de publier ce rapport », indique-t-il.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

Amazon Prime Day – Méfiez-vous des arnaques

Des responsables des TI admettent manquer de visibilité sur leur surface d’attaque

Vol majeur de données sur un milliard de Chinois non confirmé

Adaptation et traduction française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Dans le ventre de Prometheus, service de distribution de trafic

Des chercheurs de BlackBerry ont mis en lumière un service de distribution de trafic nommé Prometheus, utilisé par des acteurs pour faciliter des opérations de maliciels à la demande et des campagnes de redirection de hameçonnage.

La programmation à code source ouvert doit-elle être rémunérée?

Un développeur contestataire de codes source ouverts a soulevé des questions sur la rémunération et l’éthique.

Faille de confidentialité dans le navigateur Safari d’Apple

Un bogue dans Safari peut permettre de divulguer l'activité de navigation et l'identité d'utilisateurs, selon un rapport.

SolarWinds : le groupe Nobelium encore actif, selon Mandiant

Des acteurs derrière la compromission de la plateforme Orion de SolarWinds sont toujours actifs, selon Mandiant.

Des failles de WordPress utilisées pour pirater des sites Web

Depuis juillet dernier, des internautes mal intentionnés exploitent des failles du système de gestion de contenu Wordpress pour pirater des sites Web.