Des chercheurs ont découvert un logiciel malveillant qui a été téléchargé plus de 6 000 fois depuis le dépôt NPM sur une période de deux ans, mettant en lumière les risques cachés auxquels sont confrontés les utilisateurs de ces archives open source. Ce logiciel, conçu pour corrompre ou supprimer des données importantes et planter des systèmes, représente une menace sérieuse pour l’écosystème JavaScript.
Une Bombe à Retardement dans l’Écosystème JavaScript
Huit paquets, utilisant des noms similaires à ceux de paquets légitimes largement utilisés, contenaient des charges destructrices. Disponibles depuis plus de deux ans, ces paquets ont été téléchargés environ 6 200 fois, selon Kush Pandya, un chercheur en sécurité.
Des Vecteurs d’Attaque Variés
« Ce qui rend cette campagne particulièrement inquiétante, c’est la diversité des vecteurs d’attaque », a écrit Pandya. Les tactiques incluaient la suppression de fichiers liés à Vue.js, la corruption de fonctions JavaScript de base, et des attaques avancées contre les mécanismes de stockage des navigateurs.
Une Menace Persistante
Certaines charges étaient programmées pour se déclencher à des dates spécifiques en 2023, mais sans date de fin pour certaines phases. Bien que toutes les dates d’activation soient passées, le risque persiste pour les développeurs utilisant ces paquets aujourd’hui.
Une Fausse Légitimité
L’utilisateur NPM derrière ces paquets malveillants a également soumis des paquets fonctionnels sans malice, créant une « façade de légitimité » pour éviter la détection. Les paquets ciblaient des écosystèmes majeurs comme React, Vue, et Vite.
Liste des Paquets Malveillants
Les paquets concernés incluent js-bomb, js-hood, et plusieurs plugins pour Vite et Vue. Les utilisateurs ayant installé ces paquets doivent vérifier leurs systèmes pour s’assurer qu’ils ne sont plus en cours d’exécution.
