Une « faille logique » a été révélée dans NPM, le gestionnaire de packages par défaut pour l’environnement d’exécution JavaScript Node.js, qui permet aux acteurs malveillants de faire passer les bibliothèques malveillantes pour légitimes et d’inciter les développeurs peu méfiants à les installer.
La menace de la chaîne d’approvisionnement a été surnommée « Package Planting » par les chercheurs de la société de sécurité cloud Aqua. Suite à la divulgation responsable le 10 février, le problème sous-jacent a été résolu par NPM le 26 avril.
« Jusqu’à récemment, NPM autorisait l’ajout de n’importe qui en tant que responsable du paquet sans en informer ces utilisateurs ni obtenir leur consentement », a déclaré Yakir Kadkoda d’Aqua. mentionné dans un rapport publié mardi.
Cela signifiait en fait qu’un adversaire pouvait créer des packages contenant des logiciels malveillants et les attribuer à des responsables de confiance et populaires à leur insu.
L’idée ici est d’ajouter des propriétaires crédibles associés à d’autres bibliothèques NPM populaires au paquet empoisonné contrôlé par l’attaquant dans l’espoir que cela inciterait les développeurs à le télécharger.
Les conséquences d’une telle attaque de la chaîne d’approvisionnement sont importantes pour un certain nombre de raisons. Non seulement cela donne un faux sentiment de confiance entre les développeurs, mais cela pourrait également nuire à la réputation des mainteneurs de paquets légitimes.
La divulgation vient comme Aqua découvert deux autres failles de la plate-forme NPM liées à l’authentification à deux facteurs (2FA) qui pourraient être exploitées pour faciliter les attaques de prise de contrôle de compte et publier des packages malveillants.
« Le principal problème est que n’importe quel utilisateur de npm peut effectuer cette opération et ajouter d’autres utilisateurs de NPM en tant que mainteneurs de leur propre package », a déclaré Kadkoda. « En fin de compte, les développeurs sont responsables des packages open source qu’ils utilisent lors de la création d’applications. »