L’article publié sur aikido.dev rapporte une attaque de type compromission de la chaîne d’approvisionnement détectée dans le package npm rand-user-agent. Ce package est utilisé pour générer des chaînes d’agent utilisateur aléatoires et est maintenu par la société WebScrapingAPI.
Le 5 mai, à 16:00 GMT+0, une analyse automatisée de malware a identifié un code suspect dans la version 1.0.110 du package. Le fichier dist/index.js contenait un cheval de Troie d’accès à distance (RAT), qui établissait une communication secrète avec un serveur de commande et de contrôle (C2) via socket.io-client et exfiltrait des fichiers en utilisant axios vers un second point de terminaison HTTP.
Le malware procédait à l’installation dynamique de ces modules s’ils étaient absents, les cachant dans un dossier .node_modules personnalisé sous le répertoire personnel de l’utilisateur. Cette attaque pourrait potentiellement affecter les nombreux utilisateurs qui téléchargent ce package chaque semaine.
Cet article est une analyse technique visant à alerter sur la compromission d’un package populaire et à informer sur les mécanismes de l’attaque.
Illustration d’un cheval de Troie numérique infiltrant un système
🔗 Source originale : https://www.aikido.dev/blog/catching-a-rat-remote-access-trojian-rand-user-agent-supply-chain-compromise