Deux paquets NPM déguisés en outils WhatsApp effacent les fichiers des développeurs

Selon BleepingComputer, deux paquets NPM malveillants présentés comme des outils de développement pour WhatsApp ont été découverts avec un code destructeur capable d’effacer des données sur les postes des développeurs. ⚠️ Les paquets usurpent l’identité d’outils liés à WhatsApp et contiennent un code de type wiper qui supprime récursivement les fichiers. L’objectif apparent est la destruction de données sur les environnements de développement. Impact: les machines des développeurs qui installent ces paquets sont exposées à une perte de données significative du fait de la suppression en profondeur des fichiers. ...

8 août 2025 · 1 min

Analyse des risques de sécurité liés aux paquets malveillants dans les dépôts open source

L’analyse du deuxième trimestre 2025 par FortiGuard Labs met en lumière les risques significatifs de sécurité de la chaîne d’approvisionnement posés par des paquets malveillants dans les dépôts open source. Les chercheurs ont analysé plus de 1,4 million de paquets NPM et 400 000 paquets PyPI, identifiant des schémas d’attaque persistants tels que l’exfiltration de données, le vol d’identifiants et le ciblage de portefeuilles de cryptomonnaies. Les acteurs malveillants utilisent des tactiques constantes, y compris la réduction du nombre de fichiers, l’utilisation de scripts d’installation et des techniques d’obfuscation. ...

4 août 2025 · 2 min

Compromission du package NPM 'is' par une attaque de la chaîne d'approvisionnement

Bleeping Computer rapporte que le package NPM populaire nommé ‘is’ a été victime d’une attaque de la chaîne d’approvisionnement. Cette attaque a permis l’injection d’un malware avec une porte dérobée, offrant aux attaquants un accès complet aux appareils compromis. Le package ‘is’, largement utilisé dans de nombreux projets, a été modifié pour inclure un code malveillant. Ce type d’attaque est particulièrement préoccupant car il touche la chaîne d’approvisionnement logicielle, rendant potentiellement vulnérables tous les projets et systèmes utilisant ce package. ...

23 juillet 2025 · 1 min

Suppression accidentelle du package Stylus par npm

L’article de bleepingcomputer.com rapporte un incident survenu sur npm, la plus grande plateforme de registre de logiciels pour JavaScript et Node.js, où le package Stylus a été accidentellement retiré. Stylus, une bibliothèque légitime largement utilisée avec 3 millions de téléchargements hebdomadaires, a été remplacée par une page de “sécurité en attente”, une mesure habituellement réservée aux packages malveillants. Ce retrait a causé des interruptions dans les pipelines et les builds à travers le monde qui dépendent de Stylus. ...

23 juillet 2025 · 1 min

Campagne de phishing sophistiquée cible les développeurs npm

Source : socket.dev Une campagne de phishing sophistiquée a été lancée contre les développeurs npm, exploitant un domaine typosquatté, npnjs.com, pour voler des identifiants à travers de fausses pages de connexion. Les attaquants ont usurpé des emails de support npm, visant particulièrement les mainteneurs de packages ayant une grande influence. L’attaque a été orchestrée depuis l’IP 45.9.148.108 (Nice IT Customers Network) et a utilisé le domaine typosquatté pour imiter le site légitime de npm. Les emails malveillants ont échoué aux vérifications SPF, DKIM, et DMARC, et contenaient des URL tokenisées pour le suivi. ...

20 juillet 2025 · 1 min

Compromission de packages npm via une campagne de phishing sophistiquée

Socket.dev rapporte une attaque sophistiquée ciblant le registre npm, où une campagne de phishing a été utilisée pour compromettre les identifiants des mainteneurs npm. Cette attaque a permis la publication de versions malveillantes de packages populaires tels que eslint-config-prettier et eslint-plugin-prettier. Les attaquants ont utilisé un domaine typosquatté, npnjs.com, pour rediriger les mainteneurs vers une fausse page de connexion npm, récoltant ainsi leurs identifiants. Ces informations ont ensuite été utilisées pour injecter du code malveillant dans les packages compromis, ciblant spécifiquement les systèmes Windows. ...

20 juillet 2025 · 2 min

Des acteurs nord-coréens infiltrent npm avec des paquets malveillants

L’article de BleepingComputer rapporte une attaque sophistiquée menée par des acteurs nord-coréens qui ont infiltré le dépôt en ligne Node Package Manager (npm) avec 67 paquets malveillants. Ces paquets ont été conçus pour distribuer un nouveau chargeur de malware appelé XORIndex. Ce malware cible les systèmes des développeurs, ce qui peut potentiellement compromettre de nombreux projets et applications dépendant de ces paquets. L’intrusion dans le dépôt npm souligne une fois de plus la vulnérabilité des chaînes d’approvisionnement logicielles, un vecteur d’attaque de plus en plus prisé par les cybercriminels pour atteindre un large éventail de victimes indirectement. ...

15 juillet 2025 · 1 min

Nouvelle campagne de malware nord-coréenne cible les développeurs via des packages npm malveillants

L’article de Socket, publié le 25 juin 2025, met en lumière une campagne de cyberattaque orchestrée par des acteurs nord-coréens, ciblant les développeurs via des packages npm malveillants. Les attaquants nord-coréens ont publié 35 nouveaux packages npm malveillants, utilisant un chargeur de malware multi-étapes appelé HexEval. Ces packages, téléchargés plus de 4,000 fois, contiennent un chargeur qui collecte des métadonnées de l’hôte et exécute un malware de deuxième étape nommé BeaverTail, lié à la République populaire démocratique de Corée (RPDC). BeaverTail peut ensuite déployer une porte dérobée de troisième étape, InvisibleFerret. ...

25 juin 2025 · 2 min

Découverte d'un malware complexe dans des packages npm

Dans un article publié par Veracode, l’entreprise a révélé la découverte de packages npm malveillants nommés ‘solders’ et ‘@mediawave/lib’. Ces packages utilisent une technique d’obfuscation Unicode inhabituelle pour dissimuler leur véritable objectif malveillant. L’analyse a mis en lumière une chaîne d’attaque complexe en douze étapes, débutant par un script postinstall dans le fichier package.json, qui déclenche automatiquement le malware lors de l’installation. Les étapes suivantes incluent l’utilisation de JavaScript obfusqué, de scripts PowerShell téléchargés à distance, et de fichiers batch lourdement obfusqués. ...

12 juin 2025 · 1 min

Découverte de packages npm malveillants avec des portes dérobées destructrices

L’équipe de recherche sur les menaces de Socket a mis en lumière une menace sérieuse concernant des packages npm malveillants. Ces packages, publiés par un utilisateur npm sous le pseudonyme botsailer, utilisent l’email anupm019@gmail[.]com pour se faire passer pour des utilitaires légitimes. Les deux packages concernés, express-api-sync et system-health-sync-api, contiennent des portes dérobées qui enregistrent des endpoints cachés. Ces endpoints, lorsqu’ils sont activés avec les bonnes informations d’identification, exécutent des commandes de suppression de fichiers qui peuvent effacer des répertoires entiers d’applications, causant ainsi des dommages potentiellement dévastateurs aux systèmes de production. ...

9 juin 2025 · 1 min
Dernière mise à jour le: 8 Aug 2025 📝