đ° Source : BleepingComputer, basĂ© sur une analyse de Socket â publiĂ© le 8 juillet 2026.
Contexte
Une campagne de supply chain attack ciblant les dĂ©veloppeurs intĂ©grant des solutions de paiement a Ă©tĂ© dĂ©tectĂ©e sur les registres npm et PyPI. Les plateformes visĂ©es sont Paysafe, Skrill et Neteller, utilisĂ©es dans l’e-commerce, le gaming, les paris en ligne, les Ă©changes crypto et le Forex.
MĂ©canisme d’attaque
Un acteur inconnu a publié 17 packages malveillants simultanément (13 sur npm, 4 sur PyPI), imitant des SDKs officiels de paiement :
- Les packages npm ont publié 4 versions malveillantes (1.0.0 à 1.0.3)
- Les packages PyPI ont publié 1 version malveillante (1.0.0)
- Les packages exposent les APIs attendues mais retournent de fausses réponses de succÚs sans communiquer avec les backends réels
Données exfiltrées
Le code malveillant recherche et exfiltre vers un C2 hébergé sur AWS :
- Clés API Paysafe
- Clés AWS
- Tokens GitHub
- Tokens npm
- Hostname, username
- MĂ©tadonnĂ©es d’usage API
Différences comportementales npm vs PyPI
- npm : l’exfiltration ne s’active que si une clĂ© API Paysafe est prĂ©sente et lors de l’appel au SDK
- PyPI : l’exfiltration s’active automatiquement Ă l’initialisation, sans nĂ©cessiter de clĂ© Paysafe
Anti-analyse
Le malware intĂšgre des contrĂŽles anti-analyse basiques :
- ArrĂȘt si moins de 2 cĆurs CPU dĂ©tectĂ©s
- ArrĂȘt si le hostname ou username contient des indicateurs d’environnement virtualisĂ©
Attribution
L’acteur n’est pas identifiĂ©. Socket note un niveau technique suffisant et une capacitĂ© Ă opĂ©rer sur plusieurs Ă©cosystĂšmes simultanĂ©ment, suggĂ©rant un potentiel retour sous une forme plus organisĂ©e.
đ Type d’article : Publication de recherche / analyse technique â but principal : documenter une campagne de supply chain attack ciblant des dĂ©veloppeurs via des packages malveillants sur npm et PyPI.
đ§ TTPs et IOCs dĂ©tectĂ©s
TTP
- T1195.001 â Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
- T1552.001 â Unsecured Credentials: Credentials In Files (Credential Access)
- T1041 â Exfiltration Over C2 Channel (Exfiltration)
- T1497.001 â Virtualization/Sandbox Evasion: System Checks (Defense Evasion)
- T1528 â Steal Application Access Token (Credential Access)
Malware / Outils
- Stealer malware (npm/PyPI packages) (stealer)
đĄ Indice de vĂ©rification factuelle : 50/100 (moyenne)
- â bleepingcomputer.com â source reconnue (liste interne) (20pts)
- â 3822 chars â texte complet (15pts)
- ⏠aucun IOC extrait (0pts)
- ⏠pas d’IOC Ă vĂ©rifier (0pts)
- â 5 TTPs MITRE identifiĂ©es (15pts)
- ⏠date RSS ou approximée (0pts)
- ⏠aucun acteur de menace nommé (0pts)
- ⏠pas de CVE à vérifier (0pts)
đ Source originale : https://www.bleepingcomputer.com/news/security/fake-paysafe-skrill-sdks-on-npm-and-pypi-steal-credentials/