{"id":1599314,"date":"2025-03-28T06:20:35","date_gmt":"2025-03-28T08:20:35","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-packages-npm-de-neuf-ans-detournes-pour-exfiltrer-les-cles-dapi-via-des-scripts-obscurcis\/"},"modified":"2025-03-28T06:20:40","modified_gmt":"2025-03-28T08:20:40","slug":"les-packages-npm-de-neuf-ans-detournes-pour-exfiltrer-les-cles-dapi-via-des-scripts-obscurcis","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-packages-npm-de-neuf-ans-detournes-pour-exfiltrer-les-cles-dapi-via-des-scripts-obscurcis\/","title":{"rendered":"Les packages NPM de neuf ans d\u00e9tourn\u00e9s pour exfiltrer les cl\u00e9s d&#8217;API via des scripts obscurcis"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">28 mars 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 de la crypto-monnaie \/ d\u00e9veloppeur<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Les-packages-NPM-de-neuf-ans-detournes-pour-exfiltrer-les.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert plusieurs packages de crypto-monnaie sur le registre NPM qui ont \u00e9t\u00e9 d\u00e9tourn\u00e9s pour siphon des informations sensibles telles que <a rel=\"noopener nofollow\" href=\"https:\/\/en.wikipedia.org\/wiki\/Environment_variable\" target=\"_blank\">Variables d&#8217;environnement<\/a> \u00e0 partir de syst\u00e8mes compromis.<\/p>\n<p>&#8220;Certains de ces packages vivent sur NPMJS.com depuis plus de 9 ans et fournissent des fonctionnalit\u00e9s l\u00e9gitimes aux d\u00e9veloppeurs de blockchain&#8221;, chercheur sonatype AX Sharma <a rel=\"noopener nofollow\" href=\"https:\/\/www.sonatype.com\/blog\/multiple-crypto-packages-hijacked-turned-into-info-stealers\" target=\"_blank\">dit<\/a>. &#8220;Cependant, [&#8230;] Les derni\u00e8res versions de chacun de ces forfaits ont \u00e9t\u00e9 charg\u00e9es de scripts obscurcis. &#8220;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1740818990_705_Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les forfaits affect\u00e9s et leurs versions d\u00e9tourn\u00e9es sont r\u00e9pertori\u00e9es ci-dessous &#8211;<\/p>\n<ul>\n<li>Counsert-Currency Map (2.1.8)<\/li>\n<li>BNB-Javascript-Sdk-Nobroadcast (2.16.16)<\/li>\n<li>@ Bithighlander \/ Bitcoin-Cash-Js-Lib (5.2.2)<\/li>\n<li>Eslint-Config-Travix (6.3.1)<\/li>\n<li>@ Crosswise-Finance1 \/ SDK-V2 (0.1.21)<\/li>\n<li>@ Keepkey \/ Device-Protocol (7.13.3) <\/li>\n<li>@ Veniceswap \/ Uikit (0,65,34)<\/li>\n<li>@ VenicesWap \/ Eslint-Config-Panceke (1.6.2)<\/li>\n<li>Babel-pr\u00e9set-travix (1.2.1)<\/li>\n<li>@ travix \/ ui-thems (1.1.5)<\/li>\n<li>@ Coinmasters \/ Types (4.8.16)<\/li>\n<\/ul>\n<p>L&#8217;analyse de ces packages par la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 de la cha\u00eene d&#8217;approvisionnement des logiciels a r\u00e9v\u00e9l\u00e9 qu&#8217;elles avaient \u00e9t\u00e9 empoisonn\u00e9es avec du code fortement obscurci dans deux scripts diff\u00e9rents: &#8220;package \/ scripts \/ lancers.js&#8221; et &#8220;package \/ scripts \/ diagnostic-report.js&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1743150034_458_Les-packages-NPM-de-neuf-ans-detournes-pour-exfiltrer-les.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/1743150034_458_Les-packages-NPM-de-neuf-ans-detournes-pour-exfiltrer-les.jpg\" alt=\"packages NPM d\u00e9tourn\u00e9s\" border=\"0\" data-original-height=\"462\" data-original-width=\"898\" title=\"packages NPM d\u00e9tourn\u00e9s\"\/><\/a><\/div>\n<p>Le code JavaScript, qui s&#8217;ex\u00e9cute imm\u00e9diatement apr\u00e8s l&#8217;installation des packages, est con\u00e7u pour r\u00e9colter des donn\u00e9es sensibles telles que les cl\u00e9s d&#8217;API, les jetons d&#8217;acc\u00e8s, les cl\u00e9s SSH et les exfiltrater sur un serveur distant (&#8220;EOI2ECTD5A5TN1H.M.PipeDream[.]filet&#8221;).<\/p>\n<p>Fait int\u00e9ressant, aucun des r\u00e9f\u00e9rentiels GitHub associ\u00e9s aux biblioth\u00e8ques n&#8217;a \u00e9t\u00e9 modifi\u00e9 pour inclure les m\u00eames changements, ce qui soul\u00e8ve des questions sur la fa\u00e7on dont les acteurs de la menace derri\u00e8re la campagne ont r\u00e9ussi \u00e0 pousser du code malveillant. On ne sait actuellement pas quel est l&#8217;objectif final de la campagne.<\/p>\n<p>&#8220;Nous \u00e9mettons l&#8217;hypoth\u00e8se que la cause du d\u00e9tournement est de vieux comptes de mainteneur de NPM se compromettant soit via des tels d&#8217;identification (c&#8217;est l\u00e0 que les acteurs de menace r\u00e9essayent les noms d&#8217;utilisateur et les mots de passe divulgu\u00e9s dans les violations pr\u00e9c\u00e9dentes pour compromettre les comptes sur d&#8217;autres sites Web), ou une prise de contr\u00f4le de domaine expir\u00e9e&#8221;, a d\u00e9clar\u00e9 Sharma.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/Mozilla-met-a-jour-les-termes-de-Firefox-apres-le.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Compte tenu du calendrier simultan\u00e9 des attaques contre plusieurs projets de mainteneurs distincts, le premier sc\u00e9nario (contr\u00f4le des comptes de maintien) semble \u00eatre plus probablement par opposition aux attaques de phishing bien orchestr\u00e9es.&#8221;<\/p>\n<p>Les r\u00e9sultats soulignent la n\u00e9cessit\u00e9 de s\u00e9curiser les comptes avec une authentification \u00e0 deux facteurs (2FA) pour \u00e9viter les attaques de prise de contr\u00f4le. Ils mettent \u00e9galement en \u00e9vidence les d\u00e9fis associ\u00e9s \u00e0 l&#8217;application de telles garanties de s\u00e9curit\u00e9 lorsque les projets open-source atteignent la fin de vie ou ne sont plus activement maintenus.<\/p>\n<p>&#8220;Le cas met en \u00e9vidence un besoin urgent de mesures de s\u00e9curit\u00e9 de la cha\u00eene d&#8217;approvisionnement am\u00e9lior\u00e9es et une plus grande vigilance dans la surveillance des d\u00e9veloppeurs de registres de logiciels tiers&#8221;, a d\u00e9clar\u00e9 Sharma. &#8220;Les organisations doivent hi\u00e9rarchiser la s\u00e9curit\u00e9 \u00e0 chaque \u00e9tape du processus de d\u00e9veloppement pour att\u00e9nuer les risques associ\u00e9s aux d\u00e9pendances tierces.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/nine-year-old-npm-packages-hijacked-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80228 mars 2025\ue804Ravie LakshmananS\u00e9curit\u00e9 de la crypto-monnaie \/ d\u00e9veloppeur Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert plusieurs packages de crypto-monnaie sur le registre NPM qui ont \u00e9t\u00e9 d\u00e9tourn\u00e9s pour siphon des informations sensibles telles que Variables d&#8217;environnement \u00e0 partir de syst\u00e8mes compromis. &#8220;Certains de ces packages vivent sur NPMJS.com depuis plus de 9 ans et fournissent [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1599315,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,277,6208,4168,79002,274264,4161,274263,6124,70725,133,13395,124316,65,274267,4160,2012,7310,290424,7309,185,54464,238617,246491,4172,79016,4166,4164],"class_list":["post-1599314","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-ans","tag-cles","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-dapi","tag-des","tag-detournes","tag-exfiltrer","tag-les","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-neuf","tag-npm","tag-obscurcis","tag-packages","tag-pour","tag-scripts","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1599314","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1599314"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1599314\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1599315"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1599314"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1599314"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1599314"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}