🌐 Contexte

L’article est publié le 15 avril 2026 par OpenSourceMalware.com. Il documente une campagne d’attaque supply chain active sur le registre NPM, baptisée Stardrop, détectée à partir du 9 avril 2026 avec un rythme de publication de plus de 40 packages malveillants par jour.

🎯 Cibles

Les packages usurpent des noms associés à :

  • Entreprises d’IA : HuggingFace, Codeium, Cerebras, Groq, Inflection AI, Midjourney, Windsurf, Cursor, etc.
  • Fonds de capital-risque : a16z, Bessemer VC, Khosla VC, Founders Fund, Coatue, Felicis, etc.
  • Marques de luxe : Givenchy, Louis Vuitton, Valentino, Versace, Lamborghini, etc.

🔧 Mécanisme d’attaque

La chaîne d’infection repose sur trois étapes :

  1. Stage 1 – Package NPM initial : Le package utilise un package.json avec un hook postinstall et des optionalDependencies pour 11 variantes binaires multiplateformes (Linux, macOS, Windows, ARM64, x64).
  2. Stage 2 – Déploiement automatisé : Le script postinstall.mjs détecte l’OS/architecture, résout le binaire approprié, crée un symlink et opère discrètement pour éviter la détection.
  3. Stage 3 – Payloads binaires : Des exécutables volumineux (jusqu’à 153 Mo) sont déployés. Ils affichent une fausse interface demandant des clés API OpenAI/Anthropic pendant qu’ils volent des identifiants en arrière-plan.

🦠 Comportements malveillants

  • Vol de credentials depuis ~/.local/share/stardrop/auth.json et sauvegarde dans ~/.local/share/stardrop/registration.json
  • Références aux métadonnées AWS EC2 (169.254.169.254) et à Cloudflare R2 pour l’exfiltration
  • Windows : téléchargement et dépôt d’un fichier DLL dans C:\Users\Admin\AppData\Local\Temp\.79f7f37b7f7bfff1-00000000.dll
  • macOS : comportement infostealer le plus complet, identifié comme cible principale
  • Injection dans les workflows GitHub Actions via .github/workflows/stardrop.yml
  • Variable d’environnement STARDROP_BIN_PATH utilisée pour le contrôle du binaire

🔄 Persistance de la menace

Malgré le retrait rapide des packages par NPM (absence d’advisories OSV/GHSA), les CDN mondiaux (miroirs chinois et européens) ont mis en cache les packages, permettant leur installation continue.

📄 Nature de l’article

Il s’agit d’une analyse technique publiée par un chercheur en sécurité open source, visant à documenter la campagne, partager les IOCs et alerter les équipes de sécurité sur une menace supply chain active.

🧠 TTPs et IOCs détectés

TTP

  • T1195.002 — Supply Chain Compromise: Compromise Software Supply Chain (Initial Access)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1546.016 — Event Triggered Execution: Installer Packages (Persistence)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1082 — System Information Discovery (Discovery)
  • T1574.006 — Hijack Execution Flow: Dynamic Linker Hijacking (Persistence)
  • T1071 — Application Layer Protocol (Command and Control)

IOC

  • IPv4 : 169.254.169.254AbuseIPDB · VT · ThreatFox
  • Domaines : stardrop.devVT · URLhaus · ThreatFox
  • Domaines : p9ia72yajp.us-east-1.awsapprunner.comVT · URLhaus · ThreatFox
  • SHA256 : d780fe3b635ff099682677f3c93e42d789e572926fd0db076c27e775bb109b06VT · MalwareBazaar
  • SHA256 : 18e8742fb6fb5e70c0c91823d72f5d9074be1d1cba1cbfc0eca75b5427e544daVT · MalwareBazaar
  • SHA256 : 646f3904ff03e64229f938ac23fa8bb79ed1658ee5aa0bee4aa8909f38f763cdVT · MalwareBazaar
  • SHA256 : f2248973be75ce70b96424edb405d5a9af3c1fbca378566bfff3c0a0994d6f48VT · MalwareBazaar
  • MD5 : d70e7e37dfa4cf501cbd0ef6a236c84bVT · MalwareBazaar
  • MD5 : 43f446a86f1fbee74a486185c6dc1d51VT · MalwareBazaar
  • MD5 : 823f13d45fe0dd05d2f1ac4344d8ae75VT · MalwareBazaar
  • MD5 : 29b31bb2a2c4fbe0c3cec2022562927cVT · MalwareBazaar
  • Fichiers : stardrop-linux-x64-1.1.47.tgz
  • Fichiers : stardrop-darwin-arm64-1.1.49.tgz
  • Fichiers : stardrop-windows-x64-1.1.47.tgz
  • Fichiers : postinstall.mjs
  • Fichiers : .79f7f37b7f7bfff1-00000000.dll
  • Fichiers : stardrop.yml
  • Chemins : ~/.local/share/stardrop/auth.json
  • Chemins : ~/.local/share/stardrop/registration.json
  • Chemins : C:\Users\Admin\AppData\Local\Temp\.79f7f37b7f7bfff1-00000000.dll
  • Chemins : .github/workflows/stardrop.yml

Malware / Outils

  • Stardrop (stealer)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

  • ⬜ opensourcemalware.com — source non référencée (0pts)
  • ✅ 8196 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 21 IOCs dont des hashes (15pts)
  • ⬜ 0/6 IOCs confirmés externellement (0pts)
  • ✅ 11 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://opensourcemalware.com/blog/stardrop-attack