📰 Source : BleepingComputer, basĂ© sur une analyse de Socket — publiĂ© le 8 juillet 2026.

Contexte

Une campagne de supply chain attack ciblant les dĂ©veloppeurs intĂ©grant des solutions de paiement a Ă©tĂ© dĂ©tectĂ©e sur les registres npm et PyPI. Les plateformes visĂ©es sont Paysafe, Skrill et Neteller, utilisĂ©es dans l’e-commerce, le gaming, les paris en ligne, les Ă©changes crypto et le Forex.

MĂ©canisme d’attaque

Un acteur inconnu a publié 17 packages malveillants simultanément (13 sur npm, 4 sur PyPI), imitant des SDKs officiels de paiement :

  • Les packages npm ont publiĂ© 4 versions malveillantes (1.0.0 Ă  1.0.3)
  • Les packages PyPI ont publiĂ© 1 version malveillante (1.0.0)
  • Les packages exposent les APIs attendues mais retournent de fausses rĂ©ponses de succĂšs sans communiquer avec les backends rĂ©els

Données exfiltrées

Le code malveillant recherche et exfiltre vers un C2 hébergé sur AWS :

  • ClĂ©s API Paysafe
  • ClĂ©s AWS
  • Tokens GitHub
  • Tokens npm
  • Hostname, username
  • MĂ©tadonnĂ©es d’usage API

Différences comportementales npm vs PyPI

  • npm : l’exfiltration ne s’active que si une clĂ© API Paysafe est prĂ©sente et lors de l’appel au SDK
  • PyPI : l’exfiltration s’active automatiquement Ă  l’initialisation, sans nĂ©cessiter de clĂ© Paysafe

Anti-analyse

Le malware intĂšgre des contrĂŽles anti-analyse basiques :

  • ArrĂȘt si moins de 2 cƓurs CPU dĂ©tectĂ©s
  • ArrĂȘt si le hostname ou username contient des indicateurs d’environnement virtualisĂ©

Attribution

L’acteur n’est pas identifiĂ©. Socket note un niveau technique suffisant et une capacitĂ© Ă  opĂ©rer sur plusieurs Ă©cosystĂšmes simultanĂ©ment, suggĂ©rant un potentiel retour sous une forme plus organisĂ©e.

📋 Type d’article : Publication de recherche / analyse technique — but principal : documenter une campagne de supply chain attack ciblant des dĂ©veloppeurs via des packages malveillants sur npm et PyPI.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1497.001 — Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
  • T1528 — Steal Application Access Token (Credential Access)

Malware / Outils

  • Stealer malware (npm/PyPI packages) (stealer)

🟡 Indice de vĂ©rification factuelle : 50/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 3822 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC Ă  vĂ©rifier (0pts)
  • ✅ 5 TTPs MITRE identifiĂ©es (15pts)
  • ⬜ date RSS ou approximĂ©e (0pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/fake-paysafe-skrill-sdks-on-npm-and-pypi-steal-credentials/

🖮 Archive : https://web.archive.org/web/20260709073103/https://www.bleepingcomputer.com/news/security/fake-paysafe-skrill-sdks-on-npm-and-pypi-steal-credentials/