Près de trois douzaines de packages contrefaits ont été découverts dans le référentiel de packages npm, conçus pour exfiltrer les données sensibles des systèmes des développeurs, selon les conclusions de Fortinet FortiGuard Labs.
Un ensemble de packages – nommés @expue/webpack, @expue/core, @expue/vue3-renderer, @fixedwidthtable/fixedwidthtable et @virtualsearchtable/virtualsearchtable – hébergeait un fichier JavaScript obscurci capable de rassembler de précieux secrets.
Cela inclut les configurations Kubernetes, les clés SSH et les métadonnées système telles que le nom d’utilisateur, l’adresse IP et le nom d’hôte.
La société de cybersécurité a déclaré avoir également découvert une autre collection de quatre modules, à savoir binarium-crm, carrière-service-client-0.1.6, hh-dep-monitoring et orbitplate, ce qui entraîne l’extraction non autorisée du code source et des fichiers de configuration. .
« Les fichiers et répertoires ciblés peuvent contenir des propriétés intellectuelles de grande valeur et des informations sensibles, telles que diverses informations d’identification d’applications et de services », ont déclaré les chercheurs en sécurité Jin Lee et Jenna Wang. dit. « Il archive ensuite ces fichiers et répertoires et télécharge les archives résultantes sur un serveur FTP. »
Certains des packages observés s’avèrent également tirer parti d’un Webhook Discorde pour exfiltrer les données sensibles, tandis que quelques autres sont conçus pour télécharger et exécuter automatiquement un fichier exécutable potentiellement malveillant à partir d’une URL.
Dans ce qui est une nouveauté, un paquet malveillant nommé @cima/prism-utils s’est appuyé sur un script d’installation pour désactiver la validation du certificat TLS (NODE_TLS_REJECT_UNAUTHORIZED=0), rendant potentiellement les connexions vulnérables aux attaques de l’adversaire au milieu (AitM).
La société de cybersécurité a déclaré avoir classé les modules identifiés en neuf groupes différents en fonction des similitudes de code et des fonctions, la majorité d’entre eux employant des scripts d’installation qui s’exécutent avant ou après l’installation pour effectuer la collecte de données.
« Les utilisateurs finaux doivent surveiller les paquets qui utilisent des scripts d’installation suspects et faire preuve de prudence », ont déclaré les chercheurs.