Un nouvel ensemble de 48 packages npm malveillants a été découvert dans le référentiel npm avec des capacités permettant de déployer un shell inversé sur les systèmes compromis.
« Ces packages, nommés de manière trompeuse pour paraître légitimes, contenaient du JavaScript obscurci conçu pour lancer un shell inversé lors de l’installation du package », a déclaré la société de sécurité de la chaîne d’approvisionnement en logiciels Phylum. dit.
Tous les packages contrefaits ont été publiés par un utilisateur npm nommé talent (GitHub, X). Au moment de la rédaction, 39 des packages téléchargés par l’auteur sont toujours disponibles au téléchargement.
La chaîne d’attaque est déclenchée après l’installation du package via un hook d’installation dans le package.json qui appelle un code JavaScript pour établir un coque inversée à rsh.51pwn[.]com.
« Dans ce cas particulier, l’attaquant a publié des dizaines de packages à l’apparence inoffensive avec plusieurs couches d’obscurcissement et de tactiques trompeuses dans le but ultime de déployer un shell inversé sur toute machine qui installe simplement l’un de ces packages », a déclaré Phylum.
Les résultats arrivent juste après les révélations selon lesquelles deux packages publiés dans Python Package Index (PyPI) sous couvert de simplification de l’internationalisation incorporaient un code malveillant conçu pour siphonner les données sensibles des applications et des informations système Telegram Desktop.
Il a été constaté que les packages, nommés localisation-utils et locute, récupéraient la charge utile finale à partir d’une URL Pastebin générée dynamiquement et exfiltraient les informations vers un canal Telegram contrôlé par un acteur.
Ce développement met en évidence l’intérêt croissant des acteurs malveillants pour les environnements open source, qui leur permettent de mettre en place des attaques percutantes sur la chaîne d’approvisionnement pouvant cibler plusieurs clients en aval à la fois.
« Ces packages témoignent d’un effort dédié et élaboré pour éviter la détection via une analyse statique et une inspection visuelle en employant diverses techniques d’obscurcissement », Phylum ditajoutant qu’ils « constituent un autre rappel brutal de la nature critique de la confiance en matière de dépendance dans nos écosystèmes open source ».