Paquets falsos nord-coréens dérobent des secrets dans npm

04 July 2026 Publié | Traduit de l'espagnol

Un groupe de paquets logiciels falsifiés, liés à la Corée du Nord, s'est infiltré sur la plateforme npm en se faisant passer pour des outils légitimes. L'objectif était de voler les secrets des développeurs, comme les clés d'accès et les jetons. Pour les citoyens, cela signifie que des applications ou des services que nous utilisons quotidiennement auraient pu être compromis à notre insu, exposant des données personnelles ou financières. La conclusion est claire : il faut être vigilant face aux mises à jour suspectes et ne faire confiance qu'à des sources vérifiées.

scène d'infiltration de paquets npm malveillants, poste de travail de développeur avec terminal affichant le processus d'installation d'un faux paquet, fenêtre d'éditeur de code affichant un script Node.js suspect avec une fonction d'exfiltration de jetons cachée, visualisation du trafic réseau montrant des données siphonnées vers un serveur externe, alertes rouges lumineuses sur un diagramme d'arbre de dépendances, visualisation cinématographique de cybersécurité, interface sombre avec surlignages d'avertissement néon, détails réalistes de clavier et d'écran, illustration technique photoréaliste, éclairage dramatique de faible intensité soulignant la menace

Comment l'arnaque a opéré dans l'écosystème npm 🛡️

Les attaquants ont publié des paquets avec des noms similaires à des bibliothèques connues, comme crossenv au lieu de cross-env. Une fois installés, ils exécutaient des scripts malveillants qui exfiltraient des variables d'environnement, des fichiers de configuration et des identifiants de services cloud. La technique, connue sous le nom de typosquatting, exploite la confiance des développeurs en copiant des noms populaires. La portée est large : tout projet dépendant de ces paquets a pu compromettre sa chaîne d'approvisionnement, affectant les entreprises et les utilisateurs finaux qui utilisent le logiciel résultant.

L'excuse parfaite pour ne rien mettre à jour 😅

Maintenant, quand ton patron te demandera de mettre à jour toutes les dépendances du projet, tu pourras répondre d'un air sérieux : Je préfère ne pas risquer qu'un hacker nord-coréen vole le code de la calculatrice du bureau. Parce que oui, il s'avère que même le paquet le plus innocent peut être un piège. Donc tu sais quoi : avant de faire un npm install, vérifie deux fois le nom. Ou mieux, reste avec l'ancienne version qui fonctionne. La paresse technologique a enfin son bon côté.