Selon Red Canary, des compromissions récentes de paquets npm révèlent des vulnérabilités critiques dans la chaîne d’approvisionnement logicielle Node.js.

— Mécanisme d’attaque — Les adversaires visent les comptes développeurs via du phishing avec domaines typosquattés (ex. npnjs.com vs npmjs.com) et des stealers qui exfiltrent des identifiants. Ils exploitent des paramétrages 2FA mal configurés (authentification activée mais non exigée pour les actions d’écriture comme la publication) pour injecter du code malveillant dans des paquets largement utilisés.

— Déconnexion dépôt/registre — Les paquets malveillants sont publiés directement dans le registre npm sans passer par les dépôts GitHub, créant une discordance entre le code visible sur GitHub et le contenu réel publié sur npm.

— Indicateurs observés et détection — Le malware peut lancer des processus RunDll32.exe ou s’imbriquer dans du code Node.js (notamment via des fichiers install.cjs). L’analyse souligne la nécessité de surveiller la télémétrie des processus et les connexions réseau anormales depuis des processus node.

— Mesures recommandées — Le billet met en avant la bonne configuration de la 2FA, le pinning des versions de paquets, et des procédures d’intervention robustes pour faire face à ces menaces de chaîne d’approvisionnement.

— IOCs et TTPs — • IOCs:

  • Exemples de domaines typosquattés: npnjs.com (vs npmjs.com)
  • Processus: RunDll32.exe
  • Fichiers/scripts: install.cjs • TTPs:
  • Phishing avec typosquatting de domaines
  • Vol d’identifiants via stealer malware
  • Exploitation d’une 2FA mal configurée (pas exigée pour publier)
  • Publication directe au registre npm sans mise à jour GitHub
  • Exécution depuis Node.js et activité réseau anormale

Type d’article: analyse de menace visant à documenter les vecteurs d’attaque, les artefacts observables et les défenses recommandées.

🧠 TTPs et IOCs détectés

TTPs

Phishing avec typosquatting de domaines, Vol d’identifiants via stealer malware, Exploitation d’une 2FA mal configurée (pas exigée pour publier), Publication directe au registre npm sans mise à jour GitHub, Exécution depuis Node.js et activité réseau anormale

IOCs

Domaines typosquattés: npnjs.com, Processus: RunDll32.exe, Fichiers/scripts: install.cjs

🔗 Source originale : https://redcanary.com/blog/threat-detection/npm-package-compromises/

🖴 Archive : https://web.archive.org/web/20250923201739/https://redcanary.com/blog/threat-detection/npm-package-compromises/