Dans un article publié par Veracode, l’entreprise a révélé la découverte de packages npm malveillants nommés ‘solders’ et ‘@mediawave/lib’. Ces packages utilisent une technique d’obfuscation Unicode inhabituelle pour dissimuler leur véritable objectif malveillant.
L’analyse a mis en lumière une chaîne d’attaque complexe en douze étapes, débutant par un script postinstall dans le fichier package.json, qui déclenche automatiquement le malware lors de l’installation. Les étapes suivantes incluent l’utilisation de JavaScript obfusqué, de scripts PowerShell téléchargés à distance, et de fichiers batch lourdement obfusqués.
Un des aspects les plus intrigants de cette attaque est l’utilisation de stéganographie pour extraire des données cachées dans une image PNG, conduisant finalement à l’exécution d’un outil d’accès à distance (RAT) nommé Pulsar, permettant aux attaquants de prendre le contrôle total de la machine infectée.
Cet article constitue une analyse technique détaillée de la menace, visant à sensibiliser les développeurs et les professionnels de la sécurité sur les dangers potentiels cachés dans les packages open-source.
🧠 TTP et IOC détecté
TTP
[‘T1059.007: JavaScript’, ‘T1059.001: PowerShell’, ‘T1027: Obfuscated Files or Information’, ‘T1105: Ingress Tool Transfer’, ‘T1027.003: Steganography’, ‘T1203: Exploitation for Client Execution’, ‘T1219: Remote Access Software’]
IOC
[“Packages npm malveillants: ‘solders’, ‘@mediawave/lib’”, “Outil d’accès à distance (RAT): Pulsar”]
🔗 Source originale : https://www.veracode.com/blog/down-the-rabbit-hole-of-unicode-obfuscation/