Gestionnaire De Paquets Npm

Une attaque généralisée de la chaîne d’approvisionnement logicielle a ciblé le gestionnaire de packages NPM au moins depuis décembre 2021 avec des modules malveillants conçus pour voler les données saisies dans les formulaires par les utilisateurs sur les sites Web qui les incluent.

L’attaque coordonnée, baptisée IconBurst par ReversingLabs, implique pas moins de deux douzaines de packages NPM qui incluent du JavaScript obscurci, qui est livré avec un code malveillant pour récolter des données sensibles à partir de formulaires intégrés d’applications mobiles et de sites Web en aval.

« Ces attaques clairement malveillantes reposaient sur le typo-squatting, une technique dans laquelle les attaquants proposent des packages via des référentiels publics avec des noms similaires – ou des fautes d’orthographe courantes de – packages légitimes », a déclaré Karlo Zanki, chercheur en sécurité. a dit dans un rapport de mardi. « Les attaquants se sont fait passer pour des modules NPM à fort trafic comme les parapluies et les packages publiés par ionic.io. »

Les packages en question, dont la plupart ont été publiés au cours des derniers mois, ont été collectivement téléchargés plus de 27 000 fois à ce jour. Pire encore, la majorité des modules continuent d’être disponibles en téléchargement à partir du référentiel.

Ionic

Certains des modules malveillants les plus téléchargés sont répertoriés ci-dessous –

Publicité
  • paquet d’icônes (17 774)
  • ionique (3 724)
  • bibliothèques ajax (2 440)
  • icône de pied de page (1 903)
  • parapluies (686)
  • bibliothèque ajax (530)
  • pack-icones (468)
  • paquet d’icônes (380)
  • ensemble de racleurs (185), et
  • icones-paquets (170)

Dans un cas observé par ReversingLabs, les données exfiltrées par icon-package ont été acheminées vers un domaine nommé ionicio[.]com, une page sosie conçue pour ressembler à l’ionique légitime[.]site io.

La Cyber-Sécurité

Les auteurs de logiciels malveillants à l’origine de la campagne ont encore modifié leurs tactiques ces derniers mois pour recueillir des informations à partir de chaque élément de formulaire sur la page Web, ce qui indique une approche agressive de la collecte de données.

« La nature décentralisée et modulaire du développement d’applications signifie que les applications et les services ne sont aussi solides que leur composant le moins sécurisé », a noté Zanki. « Le succès de cette attaque […] souligne la nature en roue libre du développement d’applications et les faibles barrières empêchant le code malveillant ou même vulnérable d’entrer dans les applications et les environnements informatiques sensibles. »

Rate this post
Publicité
Article précédentComment définir les expirations de mot de passe utilisateur sous Linux
Article suivantComment créer un programme d’installation USB amorçable pour macOS Sierra à l’aide d’UniBeast 7
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici