Des chercheurs en cybersécurité ont détecté un nouveau ver auto-propagateur dans l'écosystème npm. Baptisé CanisterSprawl, cette attaque utilise des jetons de développeurs volés pour compromettre des paquets et se propager automatiquement. Socket et StepSecurity avertissent que la menace est déjà active, exploitant des identifiants divulgués pour infecter des dépôts et voler des données via un conteneur ICP.
Mécanisme d'auto-propagation dans la chaîne d'approvisionnement 🧬
Le ver opère via des identifiants npm volés, permettant aux attaquants de publier des versions malveillantes de paquets légitimes. Une fois installé, le code malveillant recherche des jetons supplémentaires dans l'environnement du développeur pour infecter de nouveaux projets. Le conteneur ICP agit comme un serveur d'extraction de données volées. Socket et StepSecurity indiquent que la propagation est automatique et peut compromettre toute la chaîne d'approvisionnement logicielle si les jetons concernés ne sont pas révoqués.
Ton jeton npm, la clé maîtresse du voisin 🔑
Il s'avère que laisser ton jeton npm dans un dépôt public, c'est comme laisser les clés de la voiture avec les vitres baissées. Les attaquants non seulement entrent, mais invitent tout le quartier à utiliser ton véhicule. CanisterSprawl n'est pas un ver ordinaire : c'est le cousin lourd qui arrive à la fête du code, vole les identifiants et s'en va sans payer sa tournée. Souviens-toi : si tu ne rotates pas tes jetons, quelqu'un d'autre les rotatera pour toi.