L’article, publié sur le blog du chercheur en cybersecurité Michael Taggart, explore les implications de la nouvelle version 2.3 de Deno, un outil de développement basé sur Rust, qui est désormais code-signé sur Windows.
Deno est présenté comme une alternative à Node.js, apprécié pour ses choix de conception et son approche de la gestion des dépendances. Cependant, la mise à jour 2.3, qui inclut la signature de code sur Windows, soulève des préoccupations en matière de sécurité offensive.
La signature de code est censée garantir l’authenticité du binaire, en renforçant la confiance des utilisateurs. Toutefois, cette même fonctionnalité pourrait être exploitée par des acteurs malveillants pour contourner les systèmes de sécurité comme Defender SmartScreen.
L’article met en lumière le potentiel de Deno dans des scénarios d’attaque, notamment via le vecteur ClickFix. Ce type d’attaque pourrait être facilité par la capacité de Deno à exécuter des commandes via des raccourcis clavier, illustrant ainsi les risques associés à cette mise à jour.
Illustration d’un écran d’ordinateur avec le logo de Deno
🔗 Source originale : https://taggart-tech.com/evildeno/
🖴 Archive : https://web.archive.org/web/20250507124040/https://taggart-tech.com/evildeno/