10 paquets npm typosquattĂ©s dĂ©ploient un voleur dâidentifiants multiâĂ©tapes
Selon Socket (Socket.dev), lâĂ©quipe Threat Research a dĂ©couvert 10 paquets npm typosquattĂ©s publiĂ©s le 4 juillet 2025, restĂ©s en ligne plus de quatre mois et cumulant plus de 9âŻ900 tĂ©lĂ©chargements. Lâacteur andrew_r1 (parvlhonor@gmx[.]com) exploite le hook postinstall pour exĂ©cuter automatiquement un malware obfusquĂ©, affichant un faux CAPTCHA et imitant des installations lĂ©gitimes, avant de tĂ©lĂ©charger un binaire voleur dâinformations. đš âą MĂ©canisme dâexĂ©cution et tromperie: utilisation du script postinstall pour lancer un nouveau terminal et exĂ©cuter un payload JavaScript fortement obfusquĂ© (wrapper eval autoâdĂ©codant, XOR Ă clĂ© dynamique dĂ©rivĂ©e du code, encodage URL, obfuscation du flux de contrĂŽle). Le malware prĂ©sente un faux CAPTCHA et des messages dâinstallation factices (ex. ethers, discord.js) pour masquer son activitĂ©. đ”ïžââïž ...