NPM inondé de paquets malveillants téléchargés plus de 86 000 fois

Des chercheurs en sécurité ont découvert une vulnérabilité importante dans le dépôt de code NPM que des attaquants exploitent depuis août. Cette faiblesse a conduit à l'infiltration de plus de 100 paquets malveillants conçus pour voler des identifiants, dont beaucoup sont passés inaperçus pendant longtemps. La société de sécurité Koi a mis en lumière ce problème mercredi, soulignant une faille critique dans la gestion des dépendances des paquets par NPM. La plateforme permet aux paquets installés de récupérer et d'exécuter automatiquement d'autres paquets provenant de sources non fiables sans vérification appropriée, créant un vecteur d'attaque dangereux.\n\nConnue sous le nom de campagne PhantomRaven, les attaquants ont profité de la fonctionnalité de NPM appelée Remote Dynamic Dependencies (RDD). Cette fonctionnalité permet aux paquets de télécharger dynamiquement des dépendances depuis des domaines externes souvent non fiables, y compris ceux utilisant des connexions HTTP non chiffrées. Contrairement aux dépendances traditionnelles visibles et fixes, les dépendances RDD restent invisibles pour les développeurs et de nombreux outils de sécurité car elles ne sont pas déclarées de la manière habituelle. Koi a rapporté que PhantomRaven a inondé NPM de 126 paquets malveillants, qui ont été téléchargés collectivement plus de 86 000 fois. Alarmant, environ 80 de ces paquets dangereux étaient encore disponibles en téléchargement mercredi matin.\n\nL'exploitation de RDD par PhantomRaven est particulièrement préoccupante car elle contourne les outils d'analyse statique et autres mesures de sécurité courantes. Puisque les dépendances sont récupérées à chaque installation depuis des serveurs contrôlés par les attaquants, elles ne sont ni mises en cache ni versionnées, ce qui rend la traçabilité et la détection des charges malveillantes beaucoup plus difficiles. Certains URL utilisés par les attaquants, comme ceux pointant vers des domaines suspects tels que packages.storeartifact.com, servent ces dépendances cachées qui compromettent furtivement l'environnement de l'utilisateur. Le manque de transparence fait que les développeurs voient ces paquets comme n'ayant aucune dépendance, sous-estimant ainsi le risque lié à leur utilisation.\n\nCette découverte met en lumière un angle mort flagrant dans les outils de sécurité traditionnels où les dépendances dynamiques récupérées à l'exécution sont invisibles et non contrôlées. L'analyste en sécurité de Koi, Oren Yomtov, a souligné que les attaquants deviennent de plus en plus sophistiqués dans l'exploitation de ces lacunes, rendant la détection et la prévention plus difficiles. La flexibilité même que RDD offre aux développeurs pour accéder à la demande à des bibliothèques de sources variées ouvre également la porte à des risques de sécurité importants si elle n'est pas régulée.\n\nDans l'ensemble, la campagne PhantomRaven souligne le besoin urgent d'une plus grande vigilance et de pratiques de sécurité renforcées au sein de l'écosystème NPM. Les développeurs et organisations utilisant des paquets NPM doivent être conscients du potentiel de telles menaces invisibles et dynamiquement récupérées. Jusqu'à ce que de meilleures protections soient mises en place, le risque d'installation de paquets compromis reste élevé, exposant potentiellement des millions d'utilisateurs au vol d'identifiants et à d'autres activités malveillantes. Cet incident doit servir d'alerte à la communauté plus large du développement logiciel pour repenser la gestion et la vérification des dépendances.