Un backdoor de type stealer a été découvert dans trois versions du paquet Node-IPC, ciblant les développeurs pour dérober des secrets. Les versions 1.0.0, 1.0.1 et 1.0.2 contenaient du code malveillant qui extrayait des clés API, des jetons d'accès et des variables d'environnement. Le malware opérait silencieusement, envoyant les données à un serveur distant. Cet incident expose la vulnérabilité dans la chaîne d'approvisionnement logicielle.
Analyse technique du code malveillant 🔍
Le code malveillant s'activait lors de l'installation du paquet, exécutant un script qui collectait des informations sur le système infecté. Il utilisait des fonctions de Node.js pour lire les variables d'environnement et les fichiers de configuration, filtrant les données vers un point de terminaison distant. Les attaquants ont conçu le stealer pour être furtif, sans laisser de traces évidentes dans les journaux. La communauté de sécurité recommande d'auditer les dépendances et d'utiliser des outils d'analyse statique pour détecter des menaces similaires dans l'écosystème npm.
Le cadeau surprise que personne n'a demandé dans son projet 🎁
Parce que bien sûr, ce dont tout développeur a besoin, c'est d'un paquet qui, en plus de gérer les processus IPC, décide de jouer les espions et d'emporter vos jetons en souvenir. Node-IPC propose désormais des fonctions premium : installer et se faire voler ses identifiants sans frais supplémentaires. Si vous vouliez vous sentir comme dans un film de hackers, c'est réussi. Le bon côté, c'est qu'au moins le paquet n'a pas effacé le disque dur, on peut donc appeler ça un cadeau modéré.