L’équipe de recherche sur les menaces de Socket a mis en lumière une menace sérieuse concernant des packages npm malveillants. Ces packages, publiés par un utilisateur npm sous le pseudonyme botsailer, utilisent l’email anupm019@gmail[.]com pour se faire passer pour des utilitaires légitimes.
Les deux packages concernés, express-api-sync et system-health-sync-api, contiennent des portes dérobées qui enregistrent des endpoints cachés. Ces endpoints, lorsqu’ils sont activés avec les bonnes informations d’identification, exécutent des commandes de suppression de fichiers qui peuvent effacer des répertoires entiers d’applications, causant ainsi des dommages potentiellement dévastateurs aux systèmes de production.
Cette découverte met en évidence les risques associés à l’utilisation de packages open source non vérifiés, soulignant l’importance de la vigilance et de la vérification des sources lors de l’intégration de composants tiers dans des environnements de production.
Cet article est une publication de recherche visant à informer la communauté technique des nouvelles menaces et à encourager une plus grande prudence dans la gestion des dépendances logicielles.
🔗 Source originale : https://socket.dev/blog/destructive-npm-packages-enable-remote-system-wipe