Compromission supply chain npm : 140+ packages Mastra empoisonnés via typosquat easy-day-js

🔍 Contexte Publié le 17 juin 2026 par la Microsoft Defender Security Research Team, cet article documente une attaque supply chain npm de grande envergure ciblant l’écosystème Mastra. Microsoft Threat Intelligence a identifié la compromission et partagé ses conclusions avec l’équipe de sécurité npm, qui a supprimé les packages affectés et révoqué les droits de publication du compte compromis. ⚔️ Déroulement de l’attaque L’attaque s’est déroulée en six phases : Compromission de compte : Prise de contrôle du compte npm ehindero, mainteneur légitime avec droits de publication sur le scope @mastra. Création du typosquat : Publication de easy-day-js, impersonation de la bibliothèque légitime dayjs (57M+ téléchargements hebdomadaires), via un compte anonyme Tutamail. Empoisonnement massif : Publication de nouvelles versions de 140+ packages @mastra injectant easy-day-js@^1.11.21 comme dépendance, toutes taguées latest. Livraison : La plage SemVer ^1.11.21 résout vers la version 1.11.22 contenant le hook postinstall malveillant. Exécution : Le hook déclenche un dropper obfusqué de 4 572 octets (setup.cjs) qui désactive la vérification TLS et contacte le C2. Payload de second stade : Téléchargement et exécution d’un implant Node.js multiplateforme (~41 Ko) en processus détaché. 🎯 Stratégie de livraison en deux phases Phase 1 (leurre propre) : easy-day-js@1.11.21 publié le 16 juin 2026 à 07:05 UTC — code dayjs légitime, sans payload. Phase 2 (armement) : easy-day-js@1.11.22 publié le 17 juin 2026 à 01:01 UTC — ajout de setup.cjs et du hook postinstall. 🛠️ Analyse technique du payload Stage 0 — Dropper obfusqué (setup.cjs) : Tableau de 40 chaînes Base64 mélangées via un seed numérique (0x4c11d), décodées par une fonction personnalisée. ...

19 juin 2026 · 4 min

Typosquat du module Go shopspring/decimal avec backdoor DNS TXT actif depuis 2023

🔍 Contexte L’équipe de recherche de Socket a publié le 19 mai 2026 une analyse technique détaillée d’une attaque de chaîne d’approvisionnement ciblant l’écosystème Go. Le module malveillant github.com/shopsprint/decimal imite la bibliothèque légitime github.com/shopspring/decimal (38 634 importateurs connus), en ne différant que d’un seul caractère dans le nom du vendeur (shopsprint vs shopspring). 🗓️ Chronologie de l’attaque Le module typosquat a été publié pour la première fois le 2017-11-08, avec sept versions non malveillantes servant de miroir fidèle de la bibliothèque légitime. Le 2023-08-19, deux versions ont été publiées à sept minutes d’intervalle : ...

19 mai 2026 · 3 min
Dernière mise à jour le: 4 juillet 2026 📝