Les chercheurs en cybersécurité ont découvert un certain nombre de packages malveillants dans le registre NPM ciblant spécifiquement un certain nombre d’entreprises de premier plan basées en Allemagne pour mener des attaques sur la chaîne d’approvisionnement.
« Par rapport à la plupart des logiciels malveillants trouvés dans le référentiel NPM, cette charge utile semble particulièrement dangereuse : un logiciel malveillant très sophistiqué et obscurci qui agit comme une porte dérobée et permet à l’attaquant de prendre le contrôle total de la machine infectée », ont déclaré des chercheurs de JFrog. mentionné dans un nouveau rapport.
La société DevOps a déclaré que les preuves indiquent qu’il s’agit soit du travail d’un acteur de menace sophistiqué, soit d’un test de pénétration « très agressif ».
Tous les packages malveillants, dont la plupart ont depuis été supprimés du référentiel, ont été attribués à quatre « mainteneurs » – bertelsmannnpm, boschnodemodules, stihlnodemodules et dbschenkernpm – indiquant une tentative d’usurper l’identité d’entreprises légitimes telles que Bertelsmann, Bosch, Stihl et DB. Schenker.
Certains des noms de packages seraient très spécifiques, ce qui soulève la possibilité que l’adversaire ait réussi à identifier les bibliothèques hébergées dans les référentiels internes des entreprises dans le but d’organiser une attaque par confusion de dépendances.
Les conclusions s’appuient sur une rapport de Snyk à la fin du mois dernier qui détaillait l’un des packages incriminés, « gxm-reference-web-auth-server », notant que le malware cible une société inconnue qui a le même package dans son registre privé.
« Le ou les attaquants disposaient probablement d’informations sur l’existence d’un tel paquet dans le registre privé de l’entreprise », a déclaré l’équipe de recherche en sécurité de Snyk.
Qualifiant l’implant de « développement interne », JFrog a souligné que le malware héberge deux composants, un compte-gouttes qui envoie des informations sur la machine infectée à un serveur de télémétrie distant avant de déchiffrer et d’exécuter une porte dérobée JavaScript.
La porte dérobée, bien qu’elle ne dispose pas d’un mécanisme de persistance, est conçue pour recevoir et exécuter des commandes envoyées par un serveur de commande et de contrôle codé en dur, évaluer du code JavaScript arbitraire et télécharger des fichiers sur le serveur.
« L’attaque est très ciblée et repose sur des informations privilégiées difficiles à obtenir », ont déclaré les chercheurs. Mais d’un autre côté, « les noms d’utilisateur créés dans le registre NPM n’ont pas cherché à cacher l’entreprise ciblée ».