Un acteur malveillant inconnu exploite packages npm malveillants pour cibler les développeurs dans le but de voler le code source et les fichiers de configuration des machines victimes, signe de la façon dont les menaces se cachent systématiquement dans les référentiels open source.
« L’acteur malveillant derrière cette campagne est lié à des activités malveillantes remontant à 2021 », a déclaré Checkmarx, société de sécurité de la chaîne d’approvisionnement en logiciels. dit dans un rapport partagé avec The Hacker News. « Depuis, ils publient continuellement des packages malveillants. »
Le dernier rapport s’inscrit dans la continuité de la même campagne divulguée par Phylum au début du mois, dans laquelle un certain nombre de modules npm ont été conçus pour exfiltrer des informations précieuses vers un serveur distant.
Les packages, de par leur conception, sont configurés pour s’exécuter immédiatement après l’installation au moyen d’un hook de post-installation défini dans le fichier package.json. Il déclenche le lancement de preinstall.js, qui génère index.js pour capturer les métadonnées du système ainsi que pour récolter le code source et les secrets de répertoires spécifiques.
L’attaque culmine avec le script créant une archive ZIP des données et la transmettant à un serveur FTP prédéfini.
Un trait commun qui relie tous les packages est l’utilisation de « lexi2 » comme auteur dans le fichier package.json, permettant à Checkmarx de retracer les origines de l’activité jusqu’en 2021.
Bien que les objectifs exacts de la campagne ne soient pas clairs, l’utilisation de noms de packages tels que binarium-client, binarium-crm et rocketrefer suggèrent que le ciblage est orienté vers le secteur des crypto-monnaies.
« Le secteur des crypto-monnaies reste une cible privilégiée, et il est important de reconnaître que nous ne sommes pas seulement aux prises avec des packages malveillants, mais aussi avec des adversaires persistants dont les attaques continues et méticuleusement planifiées remontent à des mois, voire des années », a déclaré le chercheur en sécurité Yehuda Gelb.