Une “faille logique” a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e dans NPM, le gestionnaire de packages par d\u00e9faut pour l’environnement d’ex\u00e9cution JavaScript Node.js, qui permet aux acteurs malveillants de faire passer les biblioth\u00e8ques malveillantes pour l\u00e9gitimes et d’inciter les d\u00e9veloppeurs peu m\u00e9fiants \u00e0 les installer.<\/p>\n
La menace de la cha\u00eene d’approvisionnement a \u00e9t\u00e9 surnomm\u00e9e “Package Planting” par les chercheurs de la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud Aqua. Suite \u00e0 la divulgation responsable le 10 f\u00e9vrier, le probl\u00e8me sous-jacent a \u00e9t\u00e9 r\u00e9solu par NPM le 26 avril.<\/p>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Des-pirates-informatiques-iraniens-utilisent-un-nouveau-logiciel-malveillant-despionnage.png\")
<\/a><\/div>\n“Jusqu’\u00e0 r\u00e9cemment, NPM autorisait l’ajout de n’importe qui en tant que responsable du paquet sans en informer ces utilisateurs ni obtenir leur consentement”, a d\u00e9clar\u00e9 Yakir Kadkoda d’Aqua. mentionn\u00e9<\/a> dans un rapport publi\u00e9 mardi.<\/p>\n Cela signifiait en fait qu’un adversaire pouvait cr\u00e9er des packages contenant des logiciels malveillants et les attribuer \u00e0 des responsables de confiance et populaires \u00e0 leur insu.<\/p>\n L’id\u00e9e ici est d’ajouter des propri\u00e9taires cr\u00e9dibles associ\u00e9s \u00e0 d’autres biblioth\u00e8ques NPM populaires au paquet empoisonn\u00e9 contr\u00f4l\u00e9 par l’attaquant dans l’espoir que cela inciterait les d\u00e9veloppeurs \u00e0 le t\u00e9l\u00e9charger.<\/p>\n Les cons\u00e9quences d’une telle attaque de la cha\u00eene d’approvisionnement sont importantes pour un certain nombre de raisons. Non seulement cela donne un faux sentiment de confiance entre les d\u00e9veloppeurs, mais cela pourrait \u00e9galement nuire \u00e0 la r\u00e9putation des mainteneurs de paquets l\u00e9gitimes.<\/p>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1651036217_109_Le-bogue-NPM-a-permis-aux-attaquants-de-distribuer-des.jpg\")
<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n