ClickCease Attention à 48 paquets npm malveillants déployant des Reverse Shells

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Attention à 48 paquets npm malveillants déployant des Reverse Shells

Rohan Timalsina

Le 17 novembre 2023 - L'équipe d'experts de TuxCare

Lors d'une récente découverte, 48 paquets npm malveillants ont été découverts dans le dépôt npm. Ces paquets malveillants ont le pouvoir de déployer un shell inversé sur les systèmes compromis, ce qui constitue un grave problème.

Ce qui rend cette situation encore plus alarmante, c'est que ces paquets étaient déguisés pour paraître légitimes. Ils contenaient du code JavaScript obscurci conçu pour lancer un shell inversé dès leur installation. Cette révélation émane de Phylum, une entreprise spécialisée dans la sécurité de la chaîne d'approvisionnement des logiciels, qui a surveillé ces paquets malveillants.

 

Détails de l'attaque

 

La personne à l'origine de ces paquets npm trompeurs est connue sous le nom de hktalent sur npm et GitHub. À l'heure où nous écrivons ces lignes, deux paquets mis en ligne par cette personne sont toujours disponibles au téléchargement. Cela signifie qu'il existe encore des menaces potentielles.

Comment fonctionne cette attaque ? Une fois que vous avez installé l'un de ces paquets, un piège caché est activé. Ce piège se présente sous la forme d'un crochet d'installation dans le fichier package.json, qui exécute un code JavaScript. Ce code établit secrètement une connexion shell inversée vers rsh.51pwn[.]com, un serveur contrôlé par l'attaquant. Si vous êtes victime de ce stratagème, votre système peut être compromis.

Phylum a noté que l'attaquant a utilisé une combinaison de noms de paquets à consonance bénigne et de multiples couches d'obscurcissement pour déployer sournoisement l'interpréteur de commandes inversé. Il s'agit d'une tactique astucieuse visant à prendre au dépourvu les utilisateurs qui ne se doutent de rien.

Mais ce n'est pas tout. Une autre révélation inquiétante a été faite : deux paquets publiés sur le Python Package Index (PyPI) n'étaient pas ce qu'ils semblaient être. Ces paquets, appelés localization-utils et locute, prétendaient être des outils utiles pour l'internationalisation, mais avaient des intentions cachées. Ils contenaient un code malveillant conçu pour voler des données sensibles de l'application Telegram Desktop et recueillir des informations sur le système.

La partie la plus sournoise est que ces paquets récupèrent leur charge utile malveillante finale à partir d'une URL Pastebin générée dynamiquement et envoient les informations volées à un canal contrôlé par un acteur inconnu sur Telegram. Cela signifie que même si vous pensez télécharger des paquets légitimes, vous pourriez sans le savoir exposer vos données à des cybercriminels.

 

Conclusion

 

Il est important de comprendre que les acteurs de la menace ciblent de plus en plus les environnements à code source ouvert. Ils considèrent ces plateformes comme des opportunités de mener des attaques sur la chaîne d'approvisionnement qui peuvent nuire à de nombreux utilisateurs en même temps. C'est un rappel qui donne à réfléchir sur l'importance de la confiance dans la communauté des logiciels libres.

Ainsi, lorsque vous explorez le monde des logiciels libres, faites toujours preuve de prudence, vérifiez la crédibilité des paquets et de leurs auteurs, et restez vigilant face à toute activité suspecte. Votre cybersécurité est entre vos mains !

 

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
Attention aux paquets npm malveillants déployant des Reverse Shells
Nom de l'article
Attention aux paquets npm malveillants déployant des Reverse Shells
Description
Découvrez le danger de 48 paquets npm malveillants déployant des shells inversés. Restez vigilant en matière de cybersécurité dans les logiciels libres.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information