Selon l’article, une campagne active nommée « PhantomRaven » cible les développeurs via des paquets npm malveillants afin de voler des informations sensibles.
— Points clés —
- Type d’attaque : Compromission de la chaîne d’approvisionnement logicielle via des paquets npm malveillants.
- Cibles : Développeurs et environnements de développement/CI.
- Impact : Vol de tokens d’authentification, secrets CI/CD et identifiants GitHub.
- Ampleur : Des dizaines de paquets concernés.
— Détails — La campagne « PhantomRaven » s’appuie sur la publication de multiples modules npm piégés. Après installation par des développeurs, ces paquets exécutent du code visant à collecter des secrets d’accès, incluant des tokens d’authentification, des secrets d’intégration continue/livraison continue (CI/CD) et des identifiants GitHub.
— TTPs observées —
- 🚚 Empoisonnement de l’écosystème npm (packages malveillants)
- 🕵️ Vol d’identifiants et de secrets (tokens, secrets CI/CD, credentials GitHub)
- 📦 Ciblage des environnements de développement et pipelines CI/CD
Cet article est une analyse de menace visant à informer sur une campagne en cours ciblant l’écosystème des développeurs.
🧠 TTPs et IOCs détectés
TTPs
Compromission de la chaîne d’approvisionnement logicielle via des paquets npm malveillants, Empoisonnement de l’écosystème npm, Vol d’identifiants et de secrets, Ciblage des environnements de développement et pipelines CI/CD
IOCs
Non spécifiés dans l’analyse fournie
🔗 Source originale : https://www.bleepingcomputer.com/news/security/phantomraven-attack-floods-npm-with-credential-stealing-packages/