Npm

Selon BleepingComputer, une faille critique affecte la bibliothèque JavaScript expr-eval, découverte par le chercheur Jangwoo Choe et suivie sous l’identifiant CVE-2025-12735, avec une sévérité notée 9,8 par la CISA. Le CERT-CC de l’institut SEI de Carnegie Mellon a publié un avertissement soulignant le risque de prise de contrôle total du comportement logiciel et de divulgation complète des informations. ⚠️ Nature de la vulnérabilité: la validation insuffisante de l’objet variables/contexte passé à la fonction Parser.evaluate() permet à un attaquant de fournir des objets fonction malveillants que le parseur invoque lors de l’évaluation, aboutissant à une exécution de code à distance (RCE) via des entrées spécialement conçues. ...

Selon Socket (Socket.dev), l’équipe Threat Research a découvert 10 paquets npm typosquattés publiés le 4 juillet 2025, restés en ligne plus de quatre mois et cumulant plus de 9 900 téléchargements. L’acteur andrew_r1 (parvlhonor@gmx[.]com) exploite le hook postinstall pour exécuter automatiquement un malware obfusqué, affichant un faux CAPTCHA et imitant des installations légitimes, avant de télécharger un binaire voleur d’informations. 🚨 • Mécanisme d’exécution et tromperie: utilisation du script postinstall pour lancer un nouveau terminal et exécuter un payload JavaScript fortement obfusqué (wrapper eval auto‑décodant, XOR à clé dynamique dérivée du code, encodage URL, obfuscation du flux de contrôle). Le malware présente un faux CAPTCHA et des messages d’installation factices (ex. ethers, discord.js) pour masquer son activité. 🕵️‍♂️ ...

Selon l’article, une campagne active nommée « PhantomRaven » cible les développeurs via des paquets npm malveillants afin de voler des informations sensibles. — Points clés — Type d’attaque : Compromission de la chaîne d’approvisionnement logicielle via des paquets npm malveillants. Cibles : Développeurs et environnements de développement/CI. Impact : Vol de tokens d’authentification, secrets CI/CD et identifiants GitHub. Ampleur : Des dizaines de paquets concernés. — Détails — La campagne « PhantomRaven » s’appuie sur la publication de multiples modules npm piégés. Après installation par des développeurs, ces paquets exécutent du code visant à collecter des secrets d’accès, incluant des tokens d’authentification, des secrets d’intégration continue/livraison continue (CI/CD) et des identifiants GitHub. ...

Selon Socket (socket.dev), l’équipe Threat Research a identifié 10 paquets npm typosquattés, publiés le 4 juillet 2025 et totalisant plus de 9 900 téléchargements en plus de quatre mois, qui orchestrent une opération de vol d’identifiants multi‑étapes. Les paquets imitent des bibliothèques populaires (TypeScript, discord.js, ethers.js, nodemon, react-router-dom, zustand) et ont été publiés par l’acteur « andrew_r1 ». Le vecteur d’exécution abuse du hook npm postinstall pour lancer un script install.js qui détecte l’OS et ouvre un nouveau terminal afin d’exécuter un payload obfusqué (app.js), masquant l’activité durant l’installation. Le code est protégé par quatre couches d’obfuscation: wrapper eval auto‑décodant, XOR à clé dynamique dérivée du code du déchiffreur, encodage URL et obfuscation du flot de contrôle (switch-case, bases mixtes hex/octal). ...

Selon Socket (Socket Threat Research Team), une opération étatique nord-coréenne en cours arme le registre npm via plus de 338 paquets malveillants totalisant plus de 50 000 téléchargements, dans une campagne « Contagious Interview » visant des développeurs Web3/crypto/blockchain via de faux recruteurs sur LinkedIn. L’attaque repose sur de leurres de recrutement qui livrent des « tests de code » contenant des dépendances typosquattées. À l’installation, des hooks npm (postinstall) déclenchent des chargeurs malveillants, conduisant à une chaîne d’infection multi‑étapes. La campagne montre une persistance industrialisée avec des envois hebdomadaires de paquets, des techniques de chargeur en évolution et 180+ faux personnages répartis sur de nouveaux comptes npm. ⚠️ ...

Source et contexte: CERT-EU publie un état des lieux des menaces pour septembre 2025, fondé sur l’analyse de 285 rapports open source et illustré par des opérations d’APT, des vulnérabilités zero-day critiques et des campagnes supply chain. • Contexte et faits saillants: L’analyse met en avant des évolutions géopolitiques et réglementaires, dont l’évasion de sanctions de l’UE par l’entité liée à la Russie « Stark Industries », l’adoption de la première loi IA en Italie et la reclassification par la Tchéquie de la menace chinoise au niveau « Élevé ». Des activités d’espionnage notables incluent l’Iran (UNC1549) contre les secteurs défense/télécoms européens, la coopération Turla + Gamaredon contre l’Ukraine, et l’arrestation de mineurs néerlandais impliqués dans un espionnage lié à la Russie. ...

Selon Koi Security, des chercheurs ont identifié un deuxième package serveur MCP malveillant en une semaine, révélant une menace grandissante de chaîne d’approvisionnement visant les outils de développement IA. Le package npm @lanyer640/mcp-runcommand-server, d’abord publié comme légitime, a été ultérieurement armé tout en conservant ses fonctionnalités pour gagner la confiance et contourner les tests. Le package implémente une architecture à double porte dérobée: (1) un hook preinstall s’exécutant lors de npm install/npx qui ouvre immédiatement un shell inversé vers 45.115.38.27:2333 ; (2) une backdoor runtime qui, au lancement du serveur MCP, génère un shell interactif caché avec connexion TCP persistante. Malgré ces capacités, la fonctionnalité légitime de run_command est maintenue pour échapper à la détection. ...

Un acteur malveillant a publié sur npm un package frauduleux nommé « postmark-mcp » se faisant passer pour Postmark, afin de voler des emails via un mécanisme de BCC caché. Postmark précise n’avoir aucun lien avec ce package et que ses API et services officiels ne sont pas affectés. L’attaquant a d’abord établi la confiance en publiant plus de 15 versions du package, puis a introduit une porte dérobée dans la version 1.0.16 qui ajoutait en BCC les emails à un serveur externe. Cette activité visait à exfiltrer des contenus d’emails envoyés par les utilisateurs du package. ...

Selon CyberArk (billet de blog), l’attaque « Shai-Hulud » a frappé l’écosystème npm en septembre 2024, exploitant des faiblesses d’identité (comptes humains, identités machines, relations de confiance logicielle) pour mener une attaque de chaîne d’approvisionnement ayant compromis 500+ paquets en moins de 24 heures. Le ver 🪱 a été diffusé via des paquets npm trojanisés tels que "@ctrl/tinycolor@4.1.1", livrant une charge utile multi‑étapes. À l’exécution de bundle.js, le malware a collecté des identifiants (fichiers, variables d’environnement, points de terminaison IMDS cloud), s’appuyant notamment sur des outils comme TruffleHog. Les jetons volés (npm, GitHub, cloud) étaient validés, puis les données exfiltrées vers des dépôts GitHub publics et des services de webhooks. ...

Selon Red Canary, des compromissions récentes de paquets npm révèlent des vulnérabilités critiques dans la chaîne d’approvisionnement logicielle Node.js. — Mécanisme d’attaque — Les adversaires visent les comptes développeurs via du phishing avec domaines typosquattés (ex. npnjs.com vs npmjs.com) et des stealers qui exfiltrent des identifiants. Ils exploitent des paramétrages 2FA mal configurés (authentification activée mais non exigée pour les actions d’écriture comme la publication) pour injecter du code malveillant dans des paquets largement utilisés. ...