https://cyberveille.ch/tags/postinstall-hook/ Recent content in Postinstall-Hook on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Fri, 19 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-19-compromission-supply-chain-npm-140-packages-mastra-empoisonnes-via-typosquat-easy-day-js/ Fri, 19 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-19-compromission-supply-chain-npm-140-packages-mastra-empoisonnes-via-typosquat-easy-day-js/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 17 juin 2026 par la Microsoft Defender Security Research Team, cet article documente une <strong>attaque supply chain npm de grande envergure</strong> ciblant l&rsquo;écosystème Mastra. Microsoft Threat Intelligence a identifié la compromission et partagé ses conclusions avec l&rsquo;équipe de sécurité npm, qui a supprimé les packages affectés et révoqué les droits de publication du compte compromis.</p> <h2 id="-déroulement-de-lattaque">⚔️ Déroulement de l&rsquo;attaque</h2> <p>L&rsquo;attaque s&rsquo;est déroulée en six phases :</p> <ol> <li><strong>Compromission de compte</strong> : Prise de contrôle du compte npm <code>ehindero</code>, mainteneur légitime avec droits de publication sur le scope <code>@mastra</code>.</li> <li><strong>Création du typosquat</strong> : Publication de <code>easy-day-js</code>, impersonation de la bibliothèque légitime <code>dayjs</code> (57M+ téléchargements hebdomadaires), via un compte anonyme Tutamail.</li> <li><strong>Empoisonnement massif</strong> : Publication de nouvelles versions de 140+ packages <code>@mastra</code> injectant <code>easy-day-js@^1.11.21</code> comme dépendance, toutes taguées <code>latest</code>.</li> <li><strong>Livraison</strong> : La plage SemVer <code>^1.11.21</code> résout vers la version <code>1.11.22</code> contenant le hook <code>postinstall</code> malveillant.</li> <li><strong>Exécution</strong> : Le hook déclenche un dropper obfusqué de 4 572 octets (<code>setup.cjs</code>) qui désactive la vérification TLS et contacte le C2.</li> <li><strong>Payload de second stade</strong> : Téléchargement et exécution d&rsquo;un implant Node.js multiplateforme (~41 Ko) en processus détaché.</li> </ol> <h2 id="-stratégie-de-livraison-en-deux-phases">🎯 Stratégie de livraison en deux phases</h2> <ul> <li><strong>Phase 1 (leurre propre)</strong> : <code>easy-day-js@1.11.21</code> publié le 16 juin 2026 à 07:05 UTC — code dayjs légitime, sans payload.</li> <li><strong>Phase 2 (armement)</strong> : <code>easy-day-js@1.11.22</code> publié le 17 juin 2026 à 01:01 UTC — ajout de <code>setup.cjs</code> et du hook <code>postinstall</code>.</li> </ul> <h2 id="-analyse-technique-du-payload">🛠️ Analyse technique du payload</h2> <p><strong>Stage 0 — Dropper obfusqué (<code>setup.cjs</code>)</strong> : Tableau de 40 chaînes Base64 mélangées via un seed numérique (<code>0x4c11d</code>), décodées par une fonction personnalisée.</p>