Paquets npm malveillants volent des données et activent un bot DDoS

La communauté de développement fait face à une nouvelle menace dans l'écosystème npm. Quatre paquets malveillants ont été détectés, distribuant un malware de vol d'informations ainsi que le bot DDoS Phantom Bot. Une fois installés, ces composants compromettent la sécurité du système en extrayant des identifiants, des clés et des données sensibles, tout en recrutant l'appareil pour des attaques par déni de service distribué. La sophistication de ces attaques souligne la nécessité de vérifier chaque dépendance avant de l'intégrer dans des projets logiciels.

Processus d'installation de paquets npm malveillants, fenêtre de terminal montrant l'exécution de code tandis qu'une icône rougeoyante de Phantom Bot s'active en arrière-plan, des flux de données numériques extraits d'un rack de serveur fissuré, plusieurs câbles réseau convergeant vers un nuage sombre représentant le trafic d'attaque DDoS, style d'illustration technique, esthétique cyberpunk sombre avec des reflets néon rouges et bleus, indicateurs de menace lumineux sur une carte topologique réseau, paquets de données en forme de crânes circulant à travers des lignes de fibre optique, visualisation de sécurité cinématographique, textures de circuits imprimés ultra-détaillées, rendu de cybersécurité photoréaliste

Analyse technique du malware Phantom Bot dans npm 🛡️

Les paquets infectés utilisent des techniques d'obfuscation pour échapper à la détection initiale. Lors de l'exécution, ils déploient un chargeur qui télécharge et installe Phantom Bot, un malware modulaire capable de voler des cookies, des mots de passe stockés dans les navigateurs et des fichiers de portefeuilles de cryptomonnaies. Simultanément, le bot se connecte à un serveur de commande et de contrôle pour recevoir des instructions et participer à des attaques DDoS. La persistance est obtenue via des modifications du registre Windows ou des scripts de démarrage sur les systèmes Unix. Les chercheurs recommandent d'auditer le fichier package-lock.json et d'utiliser des outils comme npm audit pour identifier les dépendances suspectes.

Le nouveau hobby de npm : offrir des bots DDoS à chaque installation 🤖

Parce que bien sûr, installer une bibliothèque pour formater des dates ne suffit plus : maintenant, vous pouvez aussi transformer votre PC en soldat d'une armée DDoS sans le savoir. Ces paquets malveillants sont l'équivalent numérique de cet ami qui vous invite à dîner puis vous demande de l'aide pour déménager. La communauté des développeurs, toujours confiante, doit désormais vérifier chaque paquet comme s'il s'agissait d'un contrat de téléphonie. Bien sûr, si votre projet commence à ralentir et que votre ventilateur sonne comme un réveil, ce n'est peut-être pas la chaleur de l'été : vous avez un nouveau locataire indésirable.