L’actualité, publiée le 21 juillet 2025, rapporte une attaque majeure de la chaîne d’approvisionnement qui a compromis des packages NPM populaires. Cette attaque a permis l’installation du malware ‘pycoon’ sur les systèmes Windows.

Les attaquants ont réussi en phishant les mainteneurs de packages NPM, publiant ensuite des versions malveillantes de packages légitimes tels que eslint-config-prettier et eslint-plugin-prettier. Cette attaque met en lumière des faiblesses critiques dans les outils d’analyse de composition logicielle (SCA) et les systèmes de conseil en sécurité, car des fournisseurs majeurs comme Snyk et GitHub n’ont pas réussi à signaler correctement les packages malveillants.

Cinq packages NPM ont été compromis via la prise de contrôle des comptes des mainteneurs :

  • eslint-config-prettier (versions 8.10.1, 9.1.1, 10.1.6, 10.1.7)
  • eslint-plugin-prettier (versions 4.2.2, 4.2.3)
  • synckit (version 0.11.9)
  • @pkgr/core (version 0.2.8)
  • napi-postinstall (version 0.3.1)

Un problème majeur identifié est que la politique de suppression de NPM crée des faux négatifs dans les outils de sécurité. Lorsque des versions malveillantes sont supprimées plutôt que remplacées par des packages de sécurité, les outils SCA interrogeant les API de NPM/GitHub ne reçoivent aucune indication de la malveillance. De plus, le GitHub Security Advisory GHSA-f29h-pxvx-f335 existe mais manque du tag MALWARE, empêchant la détection automatique par la plupart des outils SCA.

Cet article est une analyse technique visant à informer sur les failles des systèmes de sécurité actuels et les impacts de l’attaque.

🧠 TTPs et IOCs détectés

TTP

T1195.002 (Compromise Software Supply Chain), T1566 (Phishing), T1078 (Valid Accounts)

IOC

eslint-config-prettier (versions 8.10.1, 9.1.1, 10.1.6, 10.1.7), eslint-plugin-prettier (versions 4.2.2, 4.2.3), synckit (version 0.11.9), @pkgr/core (version 0.2.8), napi-postinstall (version 0.3.1)

🔗 Source originale : https://sourcecodered.com/sca-sucks/

🖴 Archive : https://web.archive.org/web/20250721091411/https://sourcecodered.com/sca-sucks/