Selon Datadog Security Labs, une campagne suivie sous l’identifiant MUT-4831 a introduit 17 paquets npm (23 versions) trojanisés qui exécutent un téléchargeur lors du postinstall et livrent le malware Vidar sur des systèmes Windows.

Découverte et périmètre: GuardDog (analyse statique) a détecté le 21 octobre 2025 le paquet custom-tg-bot-plan@1.0.1 avec des indicateurs clés dont un script “postinstall”. Au total, 17 paquets distribués en deux salves (21–22 et 26 octobre) affichaient des indices similaires, se faisant passer pour des helpers Telegram, bibliothèques d’icônes ou des forks légitimes (p. ex. Cursor, React). Les paquets ont été publiés par deux comptes npm récemment créés (aartje, salii i229911), depuis bannis; ils sont restés en ligne environ deux semaines et ont cumulé au moins 2 240 téléchargements (dont des scrapers), avec un pic à 503 téléchargements uniques pour react-icon-pkg.

Chaîne d’attaque: le script postinstall (dependencies.js) suit un schéma downloader classique: 1) téléchargement d’une archive ZIP chiffrée depuis bullethost[.]cloud dans %TEMP% (nom: bLtjqzUn.zip), 2) déchiffrement/extraction avec le mot de passe bLtjqzUn, 3) exécution d’un binaire PE extrait, 4) nettoyage. Des variantes utilisent un script PowerShell embarqué dans package.json (ExecutionPolicy Bypass) pour récupérer l’archive, puis délèguent l’extraction à un script Node (extract.js).

Charge utile: l’archive contient un exécutable unique bridle.exe (SHA-256 connu des sources, identifié comme Vidar v2), un infostealer apparu initialement en 2018 (évolution d’Arkei). Vidar collecte identifiants navigateurs, cookies, wallets crypto, fichiers système, les compresse et les exfiltre vers des C2. La variante observée, compilée en Go, utilise des comptes Telegram et Steam codés en dur pour découvrir dynamiquement l’infrastructure C2. Le malware peut effacer ses traces après exfiltration.

Impact et situation: les paquets, à l’apparence légitime, ciblent Windows et exécutent la charge lors de l’installation npm via postinstall. Datadog indique qu’il s’agit de la première divulgation publique de Vidar livré via npm. Tous les paquets et comptes associés ont été retirés/bannis. Datadog met en avant ses outils SCA et Supply-Chain Firewall, et publie le dataset des paquets malveillants de la campagne MUT-4831.

IOC et TTPs

  • Fichiers/artefacts: bLtjqzUn.zip (mot de passe: bLtjqzUn), bridle.exe; scripts: dependencies.js, extract.js; exécution via Node spawn (détaché, stdio ignoré); PowerShell postinstall (ExecutionPolicy Bypass).
  • Comptes/paquets: npm accounts aartje, saliii229911; exemples de paquets: custom-tg-bot-plan, react-icon-pkg.
  • URLs/C2 et profils: • Téléchargements ZIP: https://upload.bullethost[.]cloud/download/68f55d7834645ddd64ba3e3e, /68f5503834645ddd64ba3e17, /68f775f734645ddd64ba99f4, /68f77d1134645ddd64ba9a5e, /68f7b14734645ddd64ba9b6e, /68f7c68a34645ddd64ba9b9d, /68f7de3834645ddd64ba9c00; https://files.catbox[.]moe/awktpw.zip • C2/exfil: https://nv.d.khabeir[.]com; a.t.rizbegadget[.]shop; cvt.technicalprorj[.]xyz; ftp.nadimgadget[.]shop; gor.technicalprorj[.]xyz; gra.khabeir[.]com; gra.nadimgadget[.]shop; gz.technicalprorj[.]xyz; iu.server24x[.]com; p.x.rizbegadget[.]shop; stg.mistonecorp[.]net; stg.server24[.]com; stg.server24x[.]com; t.y.server24x[.]com • Profils de découverte C2: https://telegram[.]me/s/sre22qe; https://steamcommunity[.]com/profiles/76561198777118079
  • TTPs: • Compromission de la chaîne d’approvisionnement npm via scripts postinstall. • Téléchargement d’archive chiffrée puis décompression avec mot de passe codé en dur. • Exécution d’un binaire PE et nettoyage post-exécution. • Découverte C2 via réseaux sociaux (Telegram/Steam) et exfiltration de données.

Il s’agit d’une analyse de menace et d’une publication de recherche visant à documenter une campagne de paquets npm malveillants livrant Vidar, avec détails techniques et IOC.

🧠 TTPs et IOCs détectés

TTP

[‘Compromission de la chaîne d’approvisionnement npm via scripts postinstall’, ‘Téléchargement d’archive chiffrée puis décompression avec mot de passe codé en dur’, ‘Exécution d’un binaire PE et nettoyage post-exécution’, ‘Découverte C2 via réseaux sociaux (Telegram/Steam)’, ‘Exfiltration de données’]

IOC

{‘hash’: [‘SHA-256 de bridle.exe (Vidar v2)’], ‘domaine’: [‘bullethost.cloud’, ’nv.d.khabeir.com’, ‘a.t.rizbegadget.shop’, ‘cvt.technicalprorj.xyz’, ‘ftp.nadimgadget.shop’, ‘gor.technicalprorj.xyz’, ‘gra.khabeir.com’, ‘gra.nadimgadget.shop’, ‘gz.technicalprorj.xyz’, ‘iu.server24x.com’, ‘p.x.rizbegadget.shop’, ‘stg.mistonecorp.net’, ‘stg.server24.com’, ‘stg.server24x.com’, ’t.y.server24x.com’, ’telegram.me’, ‘steamcommunity.com’], ‘ip’: []}

🔗 Source originale : https://securitylabs.datadoghq.com/articles/mut-4831-trojanized-npm-packages-vidar/