Support technique
Documentation
Connexion
Nous contacter
Plus de 700 paquets Open-Source malveillants découverts dans npm et PyPI
Rohan Timalsina
13 mars 2023 - L'équipe d'experts de TuxCare
Des chercheurs en sécurité ont découvert plus de 700 paquets open-source malveillants dans npm et PyPI. npm et PyPI sont parmi les dépôts de logiciels les plus utilisés au monde par les développeurs et les organisations.
npm et PyPI sont les principales sources d'approvisionnement en différents paquets essentiels au développement de logiciels. Ils offrent aux développeurs un moyen pratique d'économiser du temps et des efforts en utilisant des composants de code préconstruits (paquets).
Toutefois, cette popularité s'accompagne d'un inconvénient : ces dépôts sont devenus une cible attrayante pour les cybercriminels qui cherchent à exploiter les vulnérabilités de ces paquets. Les chercheurs en sécurité de Sonatype ont utilisé leur outil d'intelligence artificielle pour détecter 691 paquets malveillants dans le registre npm et 49 dans le registre PyPI.
Dans npm, deux paquets principalement attirent l'attention des chercheurs. L'un d'eux est "no-one-left-behind" de l'auteur Zalastax, et l'autre comprend plus de 33 000 paquets avec le préfixe "nolb-" de l'auteur "infinitebrahamanuniverse".
Le paquet "no-one-left-behind" dépend de tous les paquets npm disponibles publiquement, tandis que ces 33 000+ paquets sont auto-décrits comme des composants du paquet "no-one-left-behind".
Dans PyPI, l'auteur "sexydev1337" a téléchargé des paquets contenant du code fortement obscurci à l'aide d'Hyperion. Des chercheurs en sécurité ont découvert que ce code permettait d'exécuter des scripts capables de télécharger et d'exécuter des binaires nuisibles à partir de serveurs externes, voire de remplacer des fichiers exécutables.
En outre, ils ont observé que de nombreux acteurs malveillants avaient mis au point des méthodes permettant d'éviter la détection effectuée par les machines virtuelles.
Quelles sont les mesures prises pour résoudre ce problème ?
Heureusement, l'équipe de sécurité de npm a pris des mesures en supprimant le paquetage "no-one-left-behind" du dépôt. Un espace réservé le remplace par un avertissement de sécurité afin d'éviter que les utilisateurs ne subissent des dommages à l'avenir.
Par ailleurs, certains paquets créés par "infinitebrahamanuniverse" sont toujours disponibles et font l'objet d'une surveillance étroite. Cet incident rappelle aux développeurs que les paquets open-source peuvent être vulnérables aux menaces de sécurité.
Nous espérons qu'à l'avenir, de tels paquets malveillants ne seront plus trouvés régulièrement sur npm et PyPI. Si les logiciels libres offrent de nombreux avantages, ils présentent également certains risques. Il est donc essentiel de mettre en œuvre des mesures appropriées pour atténuer ces risques et garantir la sécurité des applications logicielles.
Les sources de cet article comprennent un article de It's FOSS News.
