Le gestionnaire de paquets npm est une boîte de contrôle conçue spécifiquement pour JavaScript, composée d’un client de ligne de commande et d’une base de données appelée le registre de paquets. Depuis quelques années, ce dernier est exposé à l’introduction d’un certain nombre de bibliothèques malveillantes. Récemment encore, 25 nouvelles bibliothèques ont été découvertes dans ce registre.
En général, ces paquets malveillants ont pour mission de voler les jetons Discord et les variables d’environnement des systèmes infectés. Selon la société de sécurité devOps JFrog, ces bibliothèques utilisent des typosquattages afin de se faire passer pour d’autres packages comme color.js, discord.js, crypto-js ou noblox.js.
Par ailleurs, ces bibliothèques ressemblent à des plus récentes d’il y a deux mois, qui ont été supprimées du registre. En outre, elles constituent une menace pour les systèmes qui utilisent leurs dépendances.
Des attaques via des bibliothèques du registre npm
Selon les chercheurs, deux bibliothèques malveillantes du lot, markedjs et cryto-standarts, diffèrent dans leur mission de réplicateurs de chevaux de Troie. En effet, elles fonctionnent exactement de la même manière que les packages marked et crypto-js, mais elles peuvent injecter à distance du code arbitraire.
Par ailleurs, Vera.js, un autre package malveillant pouvant récupérer les jetons Discord, adopte une approche différente du vol de jetons. Plutôt que de récupérer les informations sur le disque local, le token est récupéré sur le disque local du navigateur web.
« Cette technique peut être utile pour voler des jetons qui ont été générés lors de la connexion à l’aide du navigateur Web sur le site Web Discord, par opposition à l’utilisation de l’application Discord (qui enregistre le jeton sur le stockage sur disque local). »
Les chercheurs de l’étude
D’importantes menaces liées à l’utilisation des packages
Les jetons Discord récupérés représentent un moyen avantageux pour les auteurs d’obtenir un accès non autorisé aux comptes sans mot de passe. Cet accès leur permet de diffuser des informations malveillantes à travers les canaux Discord.
De même, les variables d’environnement récupérées par ces bibliothèques peuvent être utilisées pour recueillir des données sur l’environnement de conception d’un système. Les tokens d’accès à l’API, les clés d’authentification, les URL de l’API et les noms de compte sont des exemples de ces variables.
Par ailleurs, l’un des logiciels malveillants, lemaaa, est spécifiquement conçu pour utiliser les jetons Discord fournis. L’objectif principal de cette bibliothèque est de voler les données des cartes de crédit de la victime, modifier les mots de passe voire supprimer tous les amis de la victime.
SOURCE : THEHACKERNEWS