{"id":1596397,"date":"2025-03-26T10:51:15","date_gmt":"2025-03-26T12:51:15","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-package-npm-malveillant-modifie-la-bibliotheque-ethers-locale-pour-lancer-des-attaques-de-shell-inverse\/"},"modified":"2025-03-26T10:51:20","modified_gmt":"2025-03-26T12:51:20","slug":"le-package-npm-malveillant-modifie-la-bibliotheque-ethers-locale-pour-lancer-des-attaques-de-shell-inverse","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-package-npm-malveillant-modifie-la-bibliotheque-ethers-locale-pour-lancer-des-attaques-de-shell-inverse\/","title":{"rendered":"Le package NPM malveillant modifie la biblioth\u00e8que \u00abEthers\u00bb locale pour lancer des attaques de shell inverse"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">26 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Attaque de la cha\u00eene d&#8217;approvisionnement \/ logiciels malveillants <\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Le-package-NPM-malveillant-modifie-la-bibliotheque-Ethers-locale-pour.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert deux packages malveillants sur le registre NPM qui sont con\u00e7us pour infecter un autre package install\u00e9 localement, soulignant l&#8217;\u00e9volution continue des attaques de cha\u00eene d&#8217;approvisionnement logicielles ciblant l&#8217;\u00e9cosyst\u00e8me open-source.<\/p>\n<p>Les packages en question sont <a rel=\"noopener nofollow\" href=\"https:\/\/npm-stat.com\/charts.html?package=ethers-provider2\" target=\"_blank\">Ethers-Provider2<\/a> et <a rel=\"noopener nofollow\" href=\"https:\/\/npm-stat.com\/charts.html?package=ethers-%20providerz\" target=\"_blank\">Ethers-providerz<\/a>avec le premier t\u00e9l\u00e9charg\u00e9 73 fois \u00e0 ce jour car il \u00e9tait <a rel=\"noopener nofollow\" href=\"https:\/\/www.npmjs.com\/package\/ethers-provider2\" target=\"_blank\">publi\u00e9<\/a> Le 15 mars 2025. Le deuxi\u00e8me package, probablement supprim\u00e9 par l&#8217;auteur malveillant eux-m\u00eames, n&#8217;a attir\u00e9 aucun t\u00e9l\u00e9chargement.<\/p>\n<p>&#8220;C&#8217;\u00e9taient des t\u00e9l\u00e9chargeurs simples dont la charge utile malveillante \u00e9tait intelligemment cach\u00e9e&#8221;, inversant la chercheuse Lucija Valenti\u0107 <a rel=\"noopener nofollow\" href=\"https:\/\/www.reversinglabs.com\/blog\/malicious-npm-patch-delivers-reverse-shell\" target=\"_blank\">dit<\/a> Dans un rapport partag\u00e9 avec le Hacker News.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;La partie int\u00e9ressante r\u00e9sidait dans leur deuxi\u00e8me \u00e9tape, qui\u00ab patcher \u00bble package NPM l\u00e9gitime <a rel=\"noopener nofollow\" href=\"https:\/\/www.npmjs.com\/package\/ethers\" target=\"_blank\">\u00e9thers<\/a>install\u00e9 localement, avec un nouveau fichier contenant la charge utile malveillante. Ce fichier patch\u00e9 servirait finalement un shell invers\u00e9. &#8220;<\/p>\n<p>Le d\u00e9veloppement marque une nouvelle escalade des tactiques des acteurs de la menace, car la d\u00e9sinstallation des packages voyous ne d\u00e9barrassera pas les machines compromises de la fonctionnalit\u00e9 malveillante, car les changements r\u00e9sident dans la biblioth\u00e8que populaire. En plus de cela, si un utilisateur sans m\u00e9fiance supprime le package Ethers lorsque Ethers-Provider2 reste sur le syst\u00e8me, il risque la r\u00e9infection lorsque le package est \u00e0 nouveau install\u00e9 plus tard.<\/p>\n<p>L&#8217;analyse de revers de l&#8217;\u00e9thers-provider2 par les Advers <a rel=\"noopener nofollow\" href=\"https:\/\/www.npmjs.com\/package\/ssh2\" target=\"_blank\">ssh2<\/a> Package NPM qui comprend une charge utile malveillante dans install.js pour r\u00e9cup\u00e9rer un logiciel malveillant de deuxi\u00e8me \u00e9tape d&#8217;un serveur distant (&#8220;5.199.166[.]1: 31337 \/ installer &#8220;), \u00e9crivez-le dans un fichier temporaire et ex\u00e9cutez-le.<\/p>\n<p>Imm\u00e9diatement apr\u00e8s l&#8217;ex\u00e9cution, le fichier temporaire est supprim\u00e9 du syst\u00e8me dans le but d&#8217;\u00e9viter de laisser des traces. La charge utile de deuxi\u00e8me \u00e9tape, pour sa part, d\u00e9marre une boucle infinie pour v\u00e9rifier si les \u00e9thers du package NPM sont install\u00e9s localement. <\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1742993474_925_Le-package-NPM-malveillant-modifie-la-bibliotheque-Ethers-locale-pour.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1742993474_925_Le-package-NPM-malveillant-modifie-la-bibliotheque-Ethers-locale-pour.png\" alt=\"Package NPM malveillant\" border=\"0\" data-original-height=\"395\" data-original-width=\"935\" title=\"Package NPM malveillant\"\/><\/a><\/div>\n<p>Dans le cas, le package est d\u00e9j\u00e0 pr\u00e9sent ou il est fra\u00eechement install\u00e9, il entre en action en rempla\u00e7ant l&#8217;un des fichiers nomm\u00e9s &#8220;Provider-Jsonrpc.js&#8221; par une version contrefaite qui emballe en code suppl\u00e9mentaire pour r\u00e9cup\u00e9rer et ex\u00e9cuter une troisi\u00e8me \u00e9tape du m\u00eame serveur. La charge utile nouvellement t\u00e9l\u00e9charg\u00e9e fonctionne comme un shell invers\u00e9 pour se connecter au serveur de l&#8217;acteur de menace sur SSH.<\/p>\n<p>&#8220;Cela signifie que la connexion ouverte avec ce client se transforme en shell invers\u00e9 une fois qu&#8217;il re\u00e7oit un message personnalis\u00e9 du serveur&#8221;, a d\u00e9clar\u00e9 Valenti\u0107. &#8220;M\u00eame si le package Ethers-Provider2 est supprim\u00e9 d&#8217;un syst\u00e8me compromis, le client sera toujours utilis\u00e9 dans certaines circonstances, offrant un certain degr\u00e9 de persistance aux attaquants.&#8221;<\/p>\n<p>Il convient de noter \u00e0 ce stade que le package officiel des Ethers sur le registre NPM n&#8217;est pas compromis, car les modifications malveillantes sont apport\u00e9es localement apr\u00e8s l&#8217;installation.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-ai-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/VMware-Security-Flaws-exploite-dans-la-nature-BroadCom-publie.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le deuxi\u00e8me package, Ethers-Providerz, se comporte \u00e9galement de mani\u00e8re similaire en ce qu&#8217;il tente de modifier les fichiers associ\u00e9s \u00e0 un package NPM install\u00e9 localement appel\u00e9 &#8220;@ \u00e9thersproject \/ fournisseurs&#8221;. Le package NPM exact cibl\u00e9 par la biblioth\u00e8que n&#8217;est pas connu, bien que les r\u00e9f\u00e9rences de code source indiquent qu&#8217;elle aurait pu \u00eatre <a rel=\"noopener nofollow\" href=\"https:\/\/www.npmjs.com\/package\/loader.js\" target=\"_blank\">chargeur.js<\/a>.<\/p>\n<p>Les r\u00e9sultats servent \u00e0 mettre en \u00e9vidence les nouvelles fa\u00e7ons dont les acteurs de menace servent et persistent les logiciels malveillants dans les syst\u00e8mes de d\u00e9veloppeurs, ce qui rend essentiel que les packages \u00e0 partir de r\u00e9f\u00e9rentiels open-source soient soigneusement examin\u00e9s avant de t\u00e9l\u00e9charger et de les utiliser.<\/p>\n<p>&#8220;Malgr\u00e9 les faibles num\u00e9ros de t\u00e9l\u00e9chargement, ces packages sont puissants et malveillants&#8221;, a d\u00e9clar\u00e9 Valenti\u0107. &#8220;Si leur mission est r\u00e9ussie, ils corrompront les \u00e9thers de package install\u00e9s localement et maintiendront la persistance des syst\u00e8mes compromis m\u00eame si ce package est supprim\u00e9.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/malicious-npm-package-modifies-local.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80226 mars 2025\ue804Ravie LakshmananAttaque de la cha\u00eene d&#8217;approvisionnement \/ logiciels malveillants Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert deux packages malveillants sur le registre NPM qui sont con\u00e7us pour infecter un autre package install\u00e9 localement, soulignant l&#8217;\u00e9volution continue des attaques de cha\u00eene d&#8217;approvisionnement logicielles ciblant l&#8217;\u00e9cosyst\u00e8me open-source. Les packages en question sont Ethers-Provider2 et Ethers-providerzavec le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1596398,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,8074,17448,4168,79002,274264,4161,274263,6124,133,289829,34761,3637,12185,7733,274267,4160,11278,7310,7878,185,238617,246491,4172,11605,79016,4166,4164],"class_list":["post-1596397","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-attaques","tag-bibliotheque","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-des","tag-ethers","tag-inverse","tag-lancer","tag-locale","tag-malveillant","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-modifie","tag-npm","tag-package","tag-pour","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-shell","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1596397","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1596397"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1596397\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1596398"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1596397"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1596397"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1596397"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}