Obfuscation

L’article publié par le Threat Research Center de Palo Alto Networks explore une campagne de compromission de sites web légitimes à l’aide de code JavaScript obfusqué, surnommé JSFireTruck. Cette campagne utilise une technique d’obfuscation JavaScript appelée JSF*ck, renommée JSFireTruck pour éviter la vulgarité. Les attaquants injectent ce code dans des sites web pour rediriger les utilisateurs vers des pages malveillantes, exploitant des moteurs de recherche comme vecteurs de redirection. Plus de 269 000 pages ont été infectées entre mars et avril 2025, révélant l’ampleur de l’attaque. ...

Dans un article publié par Veracode, l’entreprise a révélé la découverte de packages npm malveillants nommés ‘solders’ et ‘@mediawave/lib’. Ces packages utilisent une technique d’obfuscation Unicode inhabituelle pour dissimuler leur véritable objectif malveillant. L’analyse a mis en lumière une chaîne d’attaque complexe en douze étapes, débutant par un script postinstall dans le fichier package.json, qui déclenche automatiquement le malware lors de l’installation. Les étapes suivantes incluent l’utilisation de JavaScript obfusqué, de scripts PowerShell téléchargés à distance, et de fichiers batch lourdement obfusqués. ...

L’article publié sur le blog de la société Aikido le 18 mai 2025, relate la découverte d’un package NPM malveillant nommé os-info-checker-es6. L’enquête a révélé que ce package ne fonctionnait pas comme annoncé, ce qui a conduit les chercheurs à approfondir leur investigation. Les chercheurs ont découvert que le package utilisait des invitations Google malveillantes et des caractères Unicode « Private Use Access » (PUAs) pour obfusquer son code et échapper à la détection. Cette technique ingénieuse a compliqué la tâche des analystes, mais leur persévérance a permis de démasquer la menace. ...