Paquet Npm

Trois bibliothèques JavaScript téléchargées dans le référentiel officiel de packages NPM ont été démasquées comme des logiciels malveillants de crypto-mining, démontrant une fois de plus comment les référentiels de packages logiciels open source deviennent une cible lucrative pour exécuter un éventail d’attaques sur les systèmes Windows, macOS et Linux.

Les packages malveillants en question — nommés d’accord, klow, et connu – ont été publiés par le même développeur et ont prétendu à tort être des analyseurs de chaînes d’agent utilisateur basés sur JavaScript conçus pour extraire les spécificités matérielles du « Agent utilisateur » En-tête HTTP. Mais à l’insu des victimes qui les ont importés, l’auteur a caché un malware de minage de crypto-monnaie dans les bibliothèques.

Sauvegardes Github Automatiques

Le compte NPM du mauvais acteur a depuis été désactivé, et les trois bibliothèques, chacune ayant été téléchargées respectivement 112, 4 et 65 fois, ont été supprimées du référentiel le 15 octobre 2021.

Les attaques impliquant les trois bibliothèques ont fonctionné en détectant le système d’exploitation actuel, avant de procéder à l’exécution d’un script .bat (pour Windows) ou .sh (pour un système d’exploitation basé sur Unix). « Ces scripts téléchargent ensuite un EXE hébergé en externe ou un ELF Linux, et exécutent le binaire avec des arguments spécifiant le pool de minage à utiliser, le portefeuille pour extraire la crypto-monnaie et le nombre de threads CPU à utiliser », Ali ElShakankiry, chercheur en sécurité de Sonatype. mentionné.

Paquet Npm

C’est loin d’être la première fois détournement de marque, le typosquatting et les malwares de cryptomining ont été trouvés cachés dans les référentiels de logiciels.

Publicité
Gestion Des Mots De Passe D'Entreprise

Plus tôt en juin, Sonatype, et JFrog (anciennement Vdoo) a identifié des packages malveillants infiltrant le référentiel PyPI qui déployaient secrètement des crypto-mineurs sur les machines affectées. Ceci est nonobstant paquets copieurs nommé d’après des référentiels ou des composants utilisés en interne par des entreprises technologiques de haut niveau dans ce qu’on appelle la confusion des dépendances.


Rate this post
Publicité
Article précédentL’anime Cowboy Bebop arrive sur Netflix alors que le battage médiatique se développe pour une nouvelle série
Article suivantExamen de la souris Ploopy – Micrologiciel Open Source
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici