Socket.dev rapporte une attaque sophistiquée ciblant le registre npm, où une campagne de phishing a été utilisée pour compromettre les identifiants des mainteneurs npm. Cette attaque a permis la publication de versions malveillantes de packages populaires tels que eslint-config-prettier et eslint-plugin-prettier.
Les attaquants ont utilisé un domaine typosquatté, npnjs.com, pour rediriger les mainteneurs vers une fausse page de connexion npm, récoltant ainsi leurs identifiants. Ces informations ont ensuite été utilisées pour injecter du code malveillant dans les packages compromis, ciblant spécifiquement les systèmes Windows.
Le code malveillant injecté tentait de charger un fichier node-gyp.dll via rundll32, permettant l’exécution de code arbitraire. Cette attaque, sans commits GitHub correspondants, a rendu la détection difficile.
Les organisations sont invitées à auditer leurs dépendances, à activer l’authentification à deux facteurs sur les comptes npm et à mettre en œuvre un verrouillage plus strict des versions pour éviter l’ingestion automatique de packages compromis.
Cet article est une analyse technique visant à informer sur les mécanismes de l’attaque et à fournir des recommandations pour se protéger contre de telles menaces.
🧠 TTP et IOC détecté
TTP
T1566.002 - Spearphishing Link, T1584.001 - Domains, T1071.001 - Web Protocols, T1203 - Exploitation for Client Execution, T1059.006 - Command and Scripting Interpreter: JavaScript, T1574.001 - Hijack Execution Flow: DLL Search Order Hijacking
IOC
npnjs.com
🔗 Source originale : https://socket.dev/blog/npm-phishing-campaign-leads-to-prettier-tooling-packages-compromise