Encore plus de code Javascript malveillant a été découvert dans des modules disponibles sur le référentiel NPM open source, affirment des chercheurs de ReversingLabs, soulignant la découverte la plus récente de bibliothèques non fiables sur des sites open source.
La société a déclaré avoir trouvé plus de deux douzaines de modules malveillants datant de six mois contenant du Javascript camouflé conçu pour voler des données de formulaire à des personnes utilisant des applications ou des sites Web sur lesquels les modules malveillants avaient été déployés.
Les chercheurs l’ont décrit comme une « attaque concertée de la chaîne d’approvisionnement ».
« Bien que l’étendue de cette attaque ne soit pas encore connue, les modules malveillants que nous avons découverts sont probablement utilisés en aval par des centaines, voire des milliers d’applications mobiles et de bureau ainsi que des sites Web », indique le rapport. « Dans un des cas, un module malveillant avait été téléchargé plus de 17 000 fois. »
Les attaquants s’appuient sur le « typo-squatting », en nommant leurs modules avec des noms similaires à ceux de modules légitimes ou des fautes d’orthographe courantes. Parmi ceux dont l’identité est usurpée figurent des modules à fort trafic comme umbrellajs (le faux module s’appelle umbrellaks) et des modules publiés par ionic.io .
Les similitudes entre les domaines utilisés pour exfiltrer les données suggèrent que les différents modules de cette campagne sont sous le contrôle d’un seul acteur, ajoute le rapport.
NPM est l’une des nombreuses bibliothèques open source de progiciels utilisés par les développeurs dans leurs applications. D’autres sont PyPI, Ruby et NuGet.
La découverte récente de code malveillant dans ces bibliothèques ne fait que souligner la nécessité pour les développeurs d’applications de contrôler de près le code qu’ils téléchargent à partir de sites Web open source. Un outil qu’ils peuvent utiliser est un « désobfuscateur » javascript pour examiner le code camouflé – en soi un signe suspect.
« Les modules NPM identifiés par notre équipe ont été collectivement téléchargés plus de 27 000 fois. Comme très peu d’organisations de développement ont la capacité de détecter le code malveillant dans les bibliothèques et les modules open source, les attaques ont persisté pendant des mois avant d’attirer notre attention. Bien que quelques-uns des modules identifiés ont été supprimés de NPM, la plupart sont toujours disponibles au téléchargement au moment de publier ce rapport », indique-t-il.
Lire aussi :
Amazon Prime Day – Méfiez-vous des arnaques
Des responsables des TI admettent manquer de visibilité sur leur surface d’attaque
Vol majeur de données sur un milliard de Chinois non confirmé
Adaptation et traduction française par Renaud Larue-Langlois
