Selon Truesec, deux attaques de chaîne d’approvisionnement distinctes ont visé l’écosystème npm, entraînant la publication de versions malveillantes de paquets populaires contenant le malware JavaScript Scavenger Stealer.
• Première attaque: campagnes de spear phishing utilisant des domaines typosquattés (npnjs.com au lieu de npmjs.com) pour collecter les identifiants de mainteneurs et pousser des paquets compromis.
• Seconde attaque: compromission directe de l’organisation GitHub de Toptal, permettant la publication de paquets npm malveillants sans commits de code source visibles.
L’implant déployé, Scavenger Stealer (en JavaScript), s’exécute de façon cross‑platform (Windows, Linux, macOS), collecte des informations système et variables d’environnement, puis exfiltre les données via des connexions WebSocket.
Paquets affectés (exemples):
- eslint-config-prettier
- synckit
- plusieurs paquets Toptal
IOCs et TTPs:
- IOCs:
- Domaine typosquatté: npnjs.com (vs npmjs.com)
- Malware: Scavenger Stealer
- Paquets compromis: eslint-config-prettier, synckit, paquets Toptal (divers)
- TTPs:
- Typosquatting et spear phishing pour le vol d’identifiants de mainteneurs
- Compromission de comptes/organisation GitHub
- Publication de versions npm malveillantes sans commits
- Exécution JavaScript cross‑platform et exfiltration via WebSocket
L’article souligne la nécessité d’améliorer les pratiques de sécurité des développeurs et la surveillance de la supply chain face à ces menaces. Il s’agit d’une analyse de menace visant à informer sur les vecteurs, l’impact et les artefacts compromis. 🧩
🧠 TTPs et IOCs détectés
TTPs
[‘Spear Phishing’, ‘Typosquatting’, ‘Credential Theft’, ‘Compromise of GitHub Accounts/Organizations’, ‘Malicious npm Package Publication without Source Code Commits’, ‘Cross-Platform JavaScript Execution’, ‘Data Exfiltration via WebSocket’]
IOCs
{‘domain’: ’npnjs.com’, ‘malware’: ‘Scavenger Stealer’, ‘compromised_packages’: [’eslint-config-prettier’, ‘synckit’, ‘Toptal packages’]}
🔗 Source originale : https://www.truesec.com/hub/blog/supplychain-attacks-targeting-popular-code-packages