L’équipe de recherche sur les menaces de Socket a découvert une série de paquets npm malveillants qui ont ciblé des frameworks JavaScript largement utilisés tels que React, Vue.js, Vite, Node.js, et l’éditeur open source Quill. Ces paquets ont réussi à rester indétectés pendant plus de deux ans, accumulant plus de 6 200 téléchargements.
Ces paquets, déguisés en plugins et utilitaires légitimes, contenaient des charges utiles destructrices conçues pour corrompre les données, supprimer des fichiers critiques et provoquer des pannes système. Le cyberacteur derrière cette campagne, utilisant l’alias npm xuxingfeng, a publié huit paquets destinés à causer des dommages importants dans l’écosystème JavaScript.
Fait notable, le même compte a également publié plusieurs paquets légitimes et non malveillants qui fonctionnent comme annoncé. Cette approche duale, combinant des paquets nuisibles et utiles, crée une illusion de légitimité qui augmente la probabilité que les paquets malveillants soient installés.
Cet article constitue une analyse de menace visant à alerter sur la présence continue de ces paquets malveillants et à inciter à leur retrait du registre npm.
🔗 Source originale : https://socket.dev/blog/malicious-npm-packages-target-react-vue-and-vite-ecosystems-with-destructive-payloads