Source : socket.dev
Une campagne de phishing sophistiquée a été lancée contre les développeurs npm, exploitant un domaine typosquatté, npnjs.com, pour voler des identifiants à travers de fausses pages de connexion. Les attaquants ont usurpé des emails de support npm, visant particulièrement les mainteneurs de packages ayant une grande influence.
L’attaque a été orchestrée depuis l’IP 45.9.148.108 (Nice IT Customers Network) et a utilisé le domaine typosquatté pour imiter le site légitime de npm. Les emails malveillants ont échoué aux vérifications SPF, DKIM, et DMARC, et contenaient des URL tokenisées pour le suivi.
L’infrastructure de l’attaque s’appuyait sur un hébergement VPS via shosting-s0-n1.nicevps.net. L’IP source a été signalée par plusieurs plateformes de renseignement sur les menaces, telles qu’AbuseIPDB et VirusTotal.
Les équipes de sécurité ont réussi à identifier et signaler l’incident, soulignant l’importance des contrôles de sécurité des emails et de la sensibilisation des développeurs pour protéger les chaînes d’approvisionnement logicielles. Cet article est une analyse technique visant à informer sur les menaces actuelles et les vecteurs d’attaque.
🧠 TTP et IOC détecté
TTP
Phishing, Typosquatting, Email Spoofing, Use of VPS for Malicious Hosting, Tokenized URLs for Tracking
IOC
Domain: npnjs.com, IP: 45.9.148.108, Hosting: shosting-s0-n1.nicevps.net
🔗 Source originale : https://socket.dev/blog/npm-phishing-email-targets-developers-with-typosquatted-domain