{"id":488652,"date":"2022-11-30T14:18:31","date_gmt":"2022-11-30T16:18:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-trouvent-un-moyen-pour-les-bibliotheques-npm-malveillantes-dechapper-a-la-detection-des-vulnerabilites\/"},"modified":"2022-11-30T14:18:32","modified_gmt":"2022-11-30T16:18:32","slug":"des-chercheurs-trouvent-un-moyen-pour-les-bibliotheques-npm-malveillantes-dechapper-a-la-detection-des-vulnerabilites","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-trouvent-un-moyen-pour-les-bibliotheques-npm-malveillantes-dechapper-a-la-detection-des-vulnerabilites\/","title":{"rendered":"Des chercheurs trouvent un moyen pour les biblioth\u00e8ques NPM malveillantes d&#8217;\u00e9chapper \u00e0 la d\u00e9tection des vuln\u00e9rabilit\u00e9s"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>De nouvelles d\u00e9couvertes de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 JFrog montrent que les logiciels malveillants ciblant l&#8217;\u00e9cosyst\u00e8me npm peuvent \u00e9chapper aux contr\u00f4les de s\u00e9curit\u00e9 en profitant d&#8217;un &#8220;comportement inattendu&#8221; dans l&#8217;outil d&#8217;interface de ligne de commande (CLI) npm.<\/p>\n<p>npm CLI <a rel=\"nofollow noopener\" href=\"https:\/\/docs.npmjs.com\/cli\/v9\/commands\/npm-install\" target=\"_blank\">installer<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/docs.npmjs.com\/cli\/v9\/commands\/npm-audit\" target=\"_blank\">Audit<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/docs.npmjs.com\/auditing-package-dependencies-for-security-vulnerabilities\" target=\"_blank\">commandes<\/a> ont des capacit\u00e9s int\u00e9gr\u00e9es pour v\u00e9rifier un package et toutes ses d\u00e9pendances pour les vuln\u00e9rabilit\u00e9s connues, agissant efficacement comme un m\u00e9canisme d&#8217;avertissement pour les d\u00e9veloppeurs en mettant en \u00e9vidence les failles.<\/p>\n<p>Mais comme JFrog l&#8217;a \u00e9tabli, les avis de s\u00e9curit\u00e9 ne sont pas affich\u00e9s lorsque les packages suivent certains formats de version, cr\u00e9ant un sc\u00e9nario dans lequel des failles critiques pourraient \u00eatre introduites dans leurs syst\u00e8mes soit directement, soit via les d\u00e9pendances du package.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/11\/Des-chercheurs-detaillent-la-vulnerabilite-inter-locataire-dAppSync-dans-Amazon-Web.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Plus pr\u00e9cis\u00e9ment, le probl\u00e8me survient uniquement lorsque la version du package install\u00e9 contient un trait d&#8217;union (par exemple, 1.2.3-a), qui est inclus pour indiquer un <a rel=\"nofollow noopener\" href=\"https:\/\/semver.org\/#spec-item-9\" target=\"_blank\">version pr\u00e9liminaire<\/a> d&#8217;un module npm.<\/p>\n<p>Bien que les responsables du projet traitent l&#8217;\u00e9cart entre les versions de package npm standard et les versions pr\u00e9liminaires comme une fonctionnalit\u00e9 pr\u00e9vue, cela le rend \u00e9galement propice aux abus par les attaquants cherchant \u00e0 empoisonner l&#8217;\u00e9cosyst\u00e8me open source.<\/p>\n<p>&#8220;Les acteurs de la menace pourraient exploiter ce comportement en plantant intentionnellement du code vuln\u00e9rable ou malveillant dans leurs packages d&#8217;apparence innocente qui seront inclus par d&#8217;autres d\u00e9veloppeurs en raison de fonctionnalit\u00e9s pr\u00e9cieuses ou d&#8217;une erreur due \u00e0 des techniques d&#8217;infection telles que le typosquattage ou la confusion des d\u00e9pendances&#8221;, Or Peles <a rel=\"nofollow noopener\" href=\"https:\/\/jfrog.com\/blog\/invisible-npm-malware-evading-security-checks-with-crafted-versions\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>En d&#8217;autres termes, un adversaire pourrait publier un package apparemment b\u00e9nin au format de version pr\u00e9liminaire, qui pourrait alors \u00eatre potentiellement repris par d&#8217;autres d\u00e9veloppeurs et ne pas \u00eatre alert\u00e9 du fait que le package est malveillant malgr\u00e9 les preuves du contraire.<\/p>\n<p>Le d\u00e9veloppement r\u00e9it\u00e8re une fois de plus comment la cha\u00eene d&#8217;approvisionnement logicielle est construite comme une cha\u00eene de confiance entre diff\u00e9rentes parties, et comment la compromission d&#8217;un lien peut affecter toutes les applications en aval qui consomment la d\u00e9pendance tierce non autoris\u00e9e.<\/p>\n<p>Pour contrer de telles menaces, il est recommand\u00e9 aux d\u00e9veloppeurs d&#8217;\u00e9viter d&#8217;installer des packages npm avec une version pr\u00e9liminaire, \u00e0 moins que la source ne soit connue pour \u00eatre totalement fiable.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/researchers-find-way-malicious-npm.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>De nouvelles d\u00e9couvertes de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 JFrog montrent que les logiciels malveillants ciblant l&#8217;\u00e9cosyst\u00e8me npm peuvent \u00e9chapper aux contr\u00f4les de s\u00e9curit\u00e9 en profitant d&#8217;un &#8220;comportement inattendu&#8221; dans l&#8217;outil d&#8217;interface de ligne de commande (CLI) npm. npm CLI installer et Audit commandes ont des capacit\u00e9s int\u00e9gr\u00e9es pour v\u00e9rifier un package et toutes ses d\u00e9pendances [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":488653,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[7304,12848,4168,4158,4165,4161,30044,133,41161,4157,4159,4171,4170,65,4167,7306,4160,1874,4163,4162,7310,185,4172,4169,12850,4166,4164,12365],"class_list":["post-488652","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-bibliotheques","tag-chercheurs","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dechapper","tag-des","tag-detection","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-malveillantes","tag-mises-a-jour-de-la-cybersecurite","tag-moyen","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-npm","tag-pour","tag-securite-informatique","tag-securite-internet","tag-trouvent","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-vulnerabilites"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/488652","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=488652"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/488652\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/488653"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=488652"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=488652"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=488652"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}