Npm

Selon la référence fournie (Socket.dev, blog), npm lance « Trusted Publishing » basé sur OpenID Connect (OIDC) pour tous les utilisateurs, afin de sécuriser la publication de packages JavaScript dans un contexte de récentes attaques de supply chain ayant exploité des tokens de mainteneurs compromis. 🔐 Points clés: Passage à des identifiants éphémères et cryptographiquement sécurisés qui expirent après chaque publication, évitant les tokens longue durée en CI/CD. Génération automatique d’attestations de provenance (preuve cryptographique de l’identité du publieur et des métadonnées d’environnement de build) sans nécessiter l’option --provenance. Objectif: réduire les risques d’attaques de la chaîne d’approvisionnement liés au vol/abus de secrets dans les pipelines. 🧰 Intégration et prérequis: ...

Selon BleepingComputer, deux paquets NPM malveillants présentés comme des outils de développement pour WhatsApp ont été découverts avec un code destructeur capable d’effacer des données sur les postes des développeurs. ⚠️ Les paquets usurpent l’identité d’outils liés à WhatsApp et contiennent un code de type wiper qui supprime récursivement les fichiers. L’objectif apparent est la destruction de données sur les environnements de développement. Impact: les machines des développeurs qui installent ces paquets sont exposées à une perte de données significative du fait de la suppression en profondeur des fichiers. ...

L’analyse du deuxième trimestre 2025 par FortiGuard Labs met en lumière les risques significatifs de sécurité de la chaîne d’approvisionnement posés par des paquets malveillants dans les dépôts open source. Les chercheurs ont analysé plus de 1,4 million de paquets NPM et 400 000 paquets PyPI, identifiant des schémas d’attaque persistants tels que l’exfiltration de données, le vol d’identifiants et le ciblage de portefeuilles de cryptomonnaies. Les acteurs malveillants utilisent des tactiques constantes, y compris la réduction du nombre de fichiers, l’utilisation de scripts d’installation et des techniques d’obfuscation. ...

Bleeping Computer rapporte que le package NPM populaire nommé ‘is’ a été victime d’une attaque de la chaîne d’approvisionnement. Cette attaque a permis l’injection d’un malware avec une porte dérobée, offrant aux attaquants un accès complet aux appareils compromis. Le package ‘is’, largement utilisé dans de nombreux projets, a été modifié pour inclure un code malveillant. Ce type d’attaque est particulièrement préoccupant car il touche la chaîne d’approvisionnement logicielle, rendant potentiellement vulnérables tous les projets et systèmes utilisant ce package. ...

L’article de bleepingcomputer.com rapporte un incident survenu sur npm, la plus grande plateforme de registre de logiciels pour JavaScript et Node.js, où le package Stylus a été accidentellement retiré. Stylus, une bibliothèque légitime largement utilisée avec 3 millions de téléchargements hebdomadaires, a été remplacée par une page de “sécurité en attente”, une mesure habituellement réservée aux packages malveillants. Ce retrait a causé des interruptions dans les pipelines et les builds à travers le monde qui dépendent de Stylus. ...

Source : socket.dev Une campagne de phishing sophistiquée a été lancée contre les développeurs npm, exploitant un domaine typosquatté, npnjs.com, pour voler des identifiants à travers de fausses pages de connexion. Les attaquants ont usurpé des emails de support npm, visant particulièrement les mainteneurs de packages ayant une grande influence. L’attaque a été orchestrée depuis l’IP 45.9.148.108 (Nice IT Customers Network) et a utilisé le domaine typosquatté pour imiter le site légitime de npm. Les emails malveillants ont échoué aux vérifications SPF, DKIM, et DMARC, et contenaient des URL tokenisées pour le suivi. ...

Socket.dev rapporte une attaque sophistiquée ciblant le registre npm, où une campagne de phishing a été utilisée pour compromettre les identifiants des mainteneurs npm. Cette attaque a permis la publication de versions malveillantes de packages populaires tels que eslint-config-prettier et eslint-plugin-prettier. Les attaquants ont utilisé un domaine typosquatté, npnjs.com, pour rediriger les mainteneurs vers une fausse page de connexion npm, récoltant ainsi leurs identifiants. Ces informations ont ensuite été utilisées pour injecter du code malveillant dans les packages compromis, ciblant spécifiquement les systèmes Windows. ...

L’article de BleepingComputer rapporte une attaque sophistiquée menée par des acteurs nord-coréens qui ont infiltré le dépôt en ligne Node Package Manager (npm) avec 67 paquets malveillants. Ces paquets ont été conçus pour distribuer un nouveau chargeur de malware appelé XORIndex. Ce malware cible les systèmes des développeurs, ce qui peut potentiellement compromettre de nombreux projets et applications dépendant de ces paquets. L’intrusion dans le dépôt npm souligne une fois de plus la vulnérabilité des chaînes d’approvisionnement logicielles, un vecteur d’attaque de plus en plus prisé par les cybercriminels pour atteindre un large éventail de victimes indirectement. ...

L’article de Socket, publié le 25 juin 2025, met en lumière une campagne de cyberattaque orchestrée par des acteurs nord-coréens, ciblant les développeurs via des packages npm malveillants. Les attaquants nord-coréens ont publié 35 nouveaux packages npm malveillants, utilisant un chargeur de malware multi-étapes appelé HexEval. Ces packages, téléchargés plus de 4,000 fois, contiennent un chargeur qui collecte des métadonnées de l’hôte et exécute un malware de deuxième étape nommé BeaverTail, lié à la République populaire démocratique de Corée (RPDC). BeaverTail peut ensuite déployer une porte dérobée de troisième étape, InvisibleFerret. ...

Dans un article publié par Veracode, l’entreprise a révélé la découverte de packages npm malveillants nommés ‘solders’ et ‘@mediawave/lib’. Ces packages utilisent une technique d’obfuscation Unicode inhabituelle pour dissimuler leur véritable objectif malveillant. L’analyse a mis en lumière une chaîne d’attaque complexe en douze étapes, débutant par un script postinstall dans le fichier package.json, qui déclenche automatiquement le malware lors de l’installation. Les étapes suivantes incluent l’utilisation de JavaScript obfusqué, de scripts PowerShell téléchargés à distance, et de fichiers batch lourdement obfusqués. ...