Npm

Selon Red Canary, des compromissions récentes de paquets npm révèlent des vulnérabilités critiques dans la chaîne d’approvisionnement logicielle Node.js. — Mécanisme d’attaque — Les adversaires visent les comptes développeurs via du phishing avec domaines typosquattés (ex. npnjs.com vs npmjs.com) et des stealers qui exfiltrent des identifiants. Ils exploitent des paramétrages 2FA mal configurés (authentification activée mais non exigée pour les actions d’écriture comme la publication) pour injecter du code malveillant dans des paquets largement utilisés. ...

Selon GitHub Blog (Xavier René‑Corail, 22 septembre 2025), l’écosystème open source a subi une vague de prises de contrôle de comptes sur des registres de paquets, dont npm, culminant avec une attaque baptisée Shai‑Hulud ciblant la chaîne d’approvisionnement JavaScript. 🚨 Incident: le 14 septembre 2025, Shai‑Hulud a infecté l’écosystème npm via des comptes mainteneurs compromis, en injectant des scripts post‑install malveillants dans des paquets populaires. Le ver était auto‑réplicant et capable de voler plusieurs types de secrets (pas uniquement des jetons npm), ce qui aurait pu permettre des attaques en continu sans l’intervention rapide de GitHub et de mainteneurs open source. ...

Source: SANS Internet Storm Center (Diary du 2025-09-21) par Johannes Ullrich. Contexte: retour sur une campagne de phishing en cours contre des comptes développeurs NPM et sur les méthodes d’authentification résistantes au phishing. — Faits rapportés: des e‑mails de phishing bien rédigés et une page de destination convaincante ont suffi pour piéger des développeurs NPM. Le domaine « npmjs.help » a été utilisé, et « npmjs.cam » (TLD .CAM et non .COM) a été enregistré peu après, même si ce dernier n’est pas joignable au moment évoqué. 🎣 ...

Selon Arctic Wolf (blog), une campagne sophistiquée de type supply chain cible l’écosystème npm avec un malware auto-propagatif qui vole des identifiants développeur, clés cloud et tokens, puis se répand en empoisonnant d’autres packages. Points clés Type d’attaque : supply chain, malware auto-propagatif (worm), vol d’identifiants. Impact : >180 packages npm compromis ; exfiltration de secrets et réédition de packages trojanisés. Vecteurs : TruffleHog, GitHub Actions, tokens npm compromis, dépôts GitHub publics. Chaîne d’attaque (résumé technique) ...

Selon KrebsOnSecurity (Brian Krebs, 16 septembre 2025), une campagne visant l’écosystème NPM a vu l’émergence de Shai-Hulud, un ver auto-propagatif qui vole des identifiants (tokens NPM, clés cloud, etc.) et exfiltre ces secrets en les publiant dans des dépôts GitHub publics. Au moins 187 paquets NPM ont été touchés, dont des paquets liés à CrowdStrike (rapidement retirés par le registre NPM). Le ver recherche un token NPM dans l’environnement lors de l’installation d’un paquet compromis. S’il en trouve, il modifie les 20 paquets les plus populaires accessibles avec ce token, s’y copie puis publie de nouvelles versions, déclenchant une propagation en chaîne. Il utilise l’outil open source TruffleHog pour détecter des secrets (GitHub, NPM, AWS, Azure, GCP, SSH, API), tente de créer de nouvelles GitHub Actions et publie les données volées. Le design cible Linux/macOS et ignore Windows. ...

Selon Sonatype, une campagne de malware wormable baptisée Shai-Hulud a compromis plus de 180 paquets npm en abusant d’identifiants de mainteneurs volés. L’opération combine automatisation (IA), vol de credentials, exfiltration via GitHub et empoisonnement de packages pour une propagation rapide dans la chaîne d’approvisionnement logicielle. Le fonctionnement est multi-étapes : collecte de credentials sur postes développeurs et environnements CI, exfiltration des données vers webhook.site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7, création automatisée de dépôts GitHub nommés “Shai-Hulud” contenant les secrets dérobés, puis injection d’un workflow GitHub Actions (.github/workflows/shai-hulud-workflow.yml) pour la persistance. ...

Selon StepSecurity, un incident de supply chain a compromis le paquet populaire @ctrl/tinycolor (2M+ téléchargements hebdo) ainsi que plus de 40 autres paquets npm, avec retrait des versions malveillantes du registre. Découvert par @franky47, le binaire malveillant bundle.js (~3,6 Mo) s’exécute lors de npm install (probable postinstall détourné) et cible des environnements Linux/macOS. L’attaque s’appuie sur un chargeur Webpack modulaire exécuté de façon asynchrone. Il réalise une reconnaissance du système (plateforme, architecture) et exfiltre l’intégralité de process.env, capturant des variables sensibles (ex. GITHUB_TOKEN, AWS_ACCESS_KEY_ID). Le code adopte une gestion silencieuse des erreurs et n’émet aucun log, tout en camouflant certains comportements (exécution de TruffleHog). ...

Source: Aikido (blog) — Analyse publiée dans un contexte de Security Operations, avec entretien de Josh Junon, mainteneur compromis, sur l’incident ayant touché des paquets npm majeurs dont « debug » et « chalk ». L’article décrit une attaque de la chaîne d’approvisionnement menée via phishing contre des mainteneurs npm, aboutissant à une injection de code malveillant. Les paquets compromis ont été téléchargés 2,6 millions de fois, tandis que « debug » et « chalk » cumulent 2,6 milliards de téléchargements hebdomadaires, illustrant la fragilité de l’écosystème. Le malware ciblait spécifiquement le vol de cryptomonnaies via injection dans le contexte du navigateur, sans viser une compromission système plus large. ...

Selon Varonis, une attaque de chaîne d’approvisionnement a compromis 20 packages npm populaires totalisant 2,67 milliards de téléchargements hebdomadaires, grâce à une campagne de phishing améliorée par IA visant les mainteneurs. L’infrastructure d’email « propre » et des contenus professionnels ont aidé à contourner les défenses classiques, permettant l’injection d’un malware de détournement de portefeuilles à travers six réseaux blockchain. Côté technique, le malware implémente un intercepteur côté navigateur qui accroche des API Web critiques (fetch(), XMLHttpRequest, window.ethereum.request()) pour réécrire silencieusement des transactions. Il cible Ethereum, Bitcoin, Solana, Tron, Litecoin et Bitcoin Cash, recourt à des regex et contient 280 adresses de portefeuilles attaquants codées en dur. Le code inspecte en temps réel les payloads, utilise la distance de Levenshtein pour substituer des adresses lookalike et manipule des interactions DEX sur Uniswap et PancakeSwap. ...

Source: Snyk — Billet d’alerte et suivi d’incident décrivant une attaque de la supply chain npm consécutive à la compromission par phishing d’un mainteneur open source (~qix), avec chronologie, IoC et conseils de vérification. — Contexte et fait principal — Un développeur open source très en vue, ~qix, a été victime d’un phishing envoyé depuis l’adresse « support@npmjs.help ». L’attaquant a pris le contrôle de son compte npm, lui permettant de publier des versions malveillantes de paquets populaires auxquels il avait des droits. ...