{"id":1108254,"date":"2024-01-19T08:40:33","date_gmt":"2024-01-19T10:40:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-cheval-de-troie-npm-contourne-luac-et-installe-anydesk-avec-oscompatible-emballer\/"},"modified":"2024-01-19T08:40:37","modified_gmt":"2024-01-19T10:40:37","slug":"le-cheval-de-troie-npm-contourne-luac-et-installe-anydesk-avec-oscompatible-emballer","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-cheval-de-troie-npm-contourne-luac-et-installe-anydesk-avec-oscompatible-emballer\/","title":{"rendered":"Le cheval de Troie Npm contourne l&#8217;UAC et installe AnyDesk avec &quot;Oscompatible&quot; Emballer"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des logiciels\/logiciels espions<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Le-cheval-de-Troie-Npm-contourne-lUAC-et-installe-AnyDesk.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un package malveillant t\u00e9l\u00e9charg\u00e9 dans le registre npm a \u00e9t\u00e9 d\u00e9couvert, d\u00e9ployant un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance sophistiqu\u00e9 sur des machines Windows compromises.<\/p>\n<p>Le colis, nomm\u00e9 &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.npmjs.com\/package\/oscompatible\" target=\"_blank\">oscompatible<\/a>&#8220;, a \u00e9t\u00e9 publi\u00e9 le 9 janvier 2024, attirant au total <a rel=\"nofollow noopener\" href=\"https:\/\/npm-stat.com\/charts.html?package=oscompatible\" target=\"_blank\">380 t\u00e9l\u00e9chargements<\/a> avant qu&#8217;il ne soit d\u00e9mont\u00e9.<\/p>\n<p>oscompatible <a rel=\"nofollow noopener\" href=\"https:\/\/blog.phylum.io\/npm-package-found-delivering-sophisticated-rat\/\" target=\"_blank\">inclus<\/a> &#8220;quelques fichiers binaires \u00e9tranges&#8221;, selon la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 de la cha\u00eene d&#8217;approvisionnement en logiciels Phylum, comprenant un seul fichier ex\u00e9cutable, une biblioth\u00e8que de liens dynamiques (DLL) et un fichier DAT crypt\u00e9, ainsi qu&#8217;un fichier JavaScript.<\/p>\n<p>Ce fichier JavaScript (&#8220;index.js&#8221;) ex\u00e9cute un script batch &#8220;autorun.bat&#8221; mais seulement apr\u00e8s avoir ex\u00e9cut\u00e9 une v\u00e9rification de compatibilit\u00e9 pour d\u00e9terminer si la machine cible s&#8217;ex\u00e9cute sous Microsoft Windows.<\/p>\n<p>Si la plate-forme n&#8217;est pas Windows, elle affiche un message d&#8217;erreur \u00e0 l&#8217;utilisateur, indiquant que le script est ex\u00e9cut\u00e9 sous Linux ou un syst\u00e8me d&#8217;exploitation non reconnu, l&#8217;invitant \u00e0 l&#8217;ex\u00e9cuter sur \u00ab Windows Server OS \u00bb.<\/p>\n<p>Le script batch, pour sa part, v\u00e9rifie s&#8217;il dispose des privil\u00e8ges d&#8217;administrateur, et sinon, ex\u00e9cute un composant Microsoft Edge l\u00e9gitime appel\u00e9 &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/strontic.github.io\/xcyclopedia\/library\/cookie_exporter.exe-B0C87F3920F427C6DE3FE1A3EF3831D5.html\" target=\"_blank\">cookie_exporter.exe<\/a>&#8221; via une commande PowerShell.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705402644_392_Le-logiciel-malveillant-Inferno-deguise-en-Coinbase-a-draine-87.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Tenter d&#8217;ex\u00e9cuter le binaire d\u00e9clenchera un contr\u00f4le de compte utilisateur (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/security\/application-security\/application-control\/user-account-control\/how-it-works#the-uac-user-experience\" target=\"_blank\">UAC<\/a>) invite demandant \u00e0 la cible de l&#8217;ex\u00e9cuter avec les informations d&#8217;identification de l&#8217;administrateur.<\/p>\n<p>Ce faisant, l&#8217;acteur mena\u00e7ant passe \u00e0 l&#8217;\u00e9tape suivante de l&#8217;attaque en ex\u00e9cutant la DLL (\u00ab msedge.dll \u00bb) en tirant parti d&#8217;une technique appel\u00e9e d\u00e9tournement d&#8217;ordre de recherche de DLL.<\/p>\n<p>La version trojanis\u00e9e de la biblioth\u00e8que est con\u00e7ue pour d\u00e9crypter le fichier DAT (\u00ab msedge.dat \u00bb) et lancer une autre DLL appel\u00e9e \u00ab msedgedat.dll \u00bb, qui, \u00e0 son tour, \u00e9tablit des connexions avec un domaine contr\u00f4l\u00e9 par un acteur nomm\u00e9 \u00ab kdark1 \u00bb.[.]com&#8221; pour r\u00e9cup\u00e9rer une archive ZIP.<\/p>\n<p>Le fichier ZIP est fourni avec le logiciel de bureau \u00e0 distance AnyDesk ainsi qu&#8217;un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance (&#8220;verify.dll&#8221;) capable de r\u00e9cup\u00e9rer des instructions d&#8217;un serveur de commande et de contr\u00f4le (C2) via WebSockets et de collecter des informations sensibles aupr\u00e8s de l&#8217;h\u00f4te. .<\/p>\n<p>Il &#8220;installe \u00e9galement les extensions Chrome dans les pr\u00e9f\u00e9rences s\u00e9curis\u00e9es, configure AnyDesk, masque l&#8217;\u00e9cran et d\u00e9sactive l&#8217;arr\u00eat de Windows, [and] capture les \u00e9v\u00e9nements du clavier et de la souris&#8221;, a d\u00e9clar\u00e9 Phylum.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Bien que \u00ab\u00a0oscompatible\u00a0\u00bb semble \u00eatre le seul module npm utilis\u00e9 dans le cadre de la campagne, ce d\u00e9veloppement est une fois de plus le signe que les acteurs malveillants ciblent de plus en plus les \u00e9cosyst\u00e8mes de logiciels open source (OSS) pour les attaques de la cha\u00eene d&#8217;approvisionnement.<\/p>\n<p>&#8220;Du c\u00f4t\u00e9 binaire, le processus de d\u00e9cryptage des donn\u00e9es, en utilisant un certificat r\u00e9voqu\u00e9 pour la signature, en extrayant d&#8217;autres fichiers de sources distantes et en essayant de se d\u00e9guiser en processus de mise \u00e0 jour Windows standard tout au long du processus, est relativement sophistiqu\u00e9 par rapport \u00e0 ce que nous voyons normalement. dans les \u00e9cosyst\u00e8mes OSS&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n<p>Cette divulgation intervient alors que la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud Aqua a r\u00e9v\u00e9l\u00e9 que 21,2 % des 50 000 packages npm les plus t\u00e9l\u00e9charg\u00e9s sont obsol\u00e8tes, exposant les utilisateurs \u00e0 des risques de s\u00e9curit\u00e9.  En d\u2019autres termes, les packages obsol\u00e8tes sont t\u00e9l\u00e9charg\u00e9s environ 2,1 milliards de fois par semaine.<\/p>\n<p>Cela inclut les r\u00e9f\u00e9rentiels GitHub archiv\u00e9s et supprim\u00e9s associ\u00e9s aux packages ainsi que ceux qui sont maintenus sans r\u00e9f\u00e9rentiel visible, sans historique de validation et sans suivi des probl\u00e8mes.<\/p>\n<p>&#8220;Cette situation devient critique lorsque les responsables, au lieu de rem\u00e9dier aux failles de s\u00e9curit\u00e9 avec des correctifs ou des affectations CVE, choisissent de d\u00e9pr\u00e9cier les packages concern\u00e9s&#8221;, chercheurs en s\u00e9curit\u00e9 Ilay Goldman et Yakir Kadkoda. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.aquasec.com\/deceptive-deprecation-the-truth-about-npm-deprecated-packages\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;Ce qui rend cela particuli\u00e8rement pr\u00e9occupant, c&#8217;est que, parfois, ces responsables ne marquent pas officiellement le paquet comme obsol\u00e8te sur npm, laissant une faille de s\u00e9curit\u00e9 pour les utilisateurs qui peuvent ignorer les menaces potentielles.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/npm-trojan-bypasses-uac-installs.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 janvier 2024\ue804R\u00e9dactionS\u00e9curit\u00e9 des logiciels\/logiciels espions Un package malveillant t\u00e9l\u00e9charg\u00e9 dans le registre npm a \u00e9t\u00e9 d\u00e9couvert, d\u00e9ployant un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance sophistiqu\u00e9 sur des machines Windows compromises. Le colis, nomm\u00e9 &#8220;oscompatible&#8220;, a \u00e9t\u00e9 publi\u00e9 le 9 janvier 2024, attirant au total 380 t\u00e9l\u00e9chargements avant qu&#8217;il ne soit d\u00e9mont\u00e9. oscompatible inclus &#8220;quelques [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1108255,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,225264,84,7968,4168,23640,4165,4161,200267,1537,28046,4159,4171,200271,225263,200268,200269,200270,7310,225265,128318,4172,4169,8915,4166,4164],"class_list":["post-1108254","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-anydesk","tag-avec","tag-cheval","tag-comment-pirater","tag-contourne","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-emballer","tag-installe","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-luac","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-npm","tag-quotoscompatiblequot","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-troie","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1108254","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1108254"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1108254\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1108255"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1108254"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1108254"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1108254"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}