AccueilActualités informatiqueUnknown infiltre le gestionnaire de paquets npm et contamine les outils avec...

Unknown infiltre le gestionnaire de paquets npm et contamine les outils avec du code malveillant

Les développeurs qui ont récemment téléchargé les paquets coa ou rc du dépôt npm pour l’environnement d’exécution JavaScript Node.js ont très probablement infecté leur ordinateur avec un code malveillant. Le problème est que ces deux paquets sont téléchargés plus de 20 millions de fois par semaine.

La raison de ces paquets contaminés par des logiciels malveillants, selon un message Twitter de npm, est la suivante. un compte de mainteneur compromis. Ils prétendent avoir désactivé le compte entre-temps.

Sommaire

Sur les pages Github respectives de coa (Command Line Parser) et rc (Configuration Loader), les responsables du dépôt listent les versions tentées avec le code malveillant :

  • coa

2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1, 3.1.3

  • rc

1.2.9, 1.3.9, 2.3.9

Les développeurs de npm préviennent que si l’un de ces paquets est installé, le PC doit être considéré comme entièrement compromis. Les versions coa 2.0.2 et rc 1.2.8 sont propres, selon eux. Toutefois, ils préviennent explicitement que même après la suppression des versions trojanisées, les paramètres du système peuvent encore être détournés par le malware. Dans ce cas, il n’y a généralement pas d’autre solution qu’une suppression complète et une réinstallation du système.

Selon les chercheurs en sécurité, le code malveillant caché dans les paquets est censé installer le cheval de Troie Qakbot sur les ordinateurs. Il s’agit d’un logiciel malveillant qui peut enregistrer les données de connexion, par exemple.

Les opérateurs du gestionnaire de paquets conseillent à tous les mainteneurs de sécuriser en plus leurs comptes par une authentification à deux facteurs (2FA). Si cette fonction de sécurité est active, en plus du mot de passe correct, un code supplémentaire est nécessaire pour se connecter, qui peut être envoyé à un smartphone, par exemple. Si un attaquant est maintenant en possession du mot de passe, il ne peut pas se connecter sans connaître le deuxième facteur.

Plus d'articles