JFrog a mis en évidence 8 paquets open source malveillants s'attaquer aux données via la version Windows de Chrome. Ces paquets, notamment react-sxt (version 2.4.1), react-typex (version 0.1.0), et react-native-control (version 2.4.1), ont été téléchargés par des utilisateurs malveillants de npm. Ils contenaient un obscurcissement multicouche très sophistiqué, avec plus de 70 couches de code dissimulé, permettant aux attaquants d'exécuter des charges utiles malveillantes sur les machines des développeurs sans interaction avec l’utilisateur.

Ils peuvent :

• Vol de données : extraire les données sensibles de tous les profils utilisateur, y compris les mots de passe, les informations de carte de crédit, les cookies et les portefeuilles de cryptomonnaie, depuis le navigateur Chrome.
• Techniques d'évasion : utiliser le contournement des clichés instantanés, l'usurpation d'identité LSASS, plusieurs méthodes d'accès aux bases de données et le contournement du verrouillage des fichiers pour éviter la détection.
• Exfiltration de données : télécharger les données volées vers des serveurs contrôlés par les pirates, y compris l'infrastructure hébergée par Railway.

« Les référentiels de logiciels open source sont devenus l'un des principaux points d'entrée des pirates dans le cadre des attaques de la chaîne d'approvisionnement, avec des vagues croissantes utilisant le typosquatting et le masquage, en se faisant passer pour légitimes. » a déclaré Guy Korolevski, chercheur en sécurité chez JFrog. « L'impact des campagnes sophistiquées à plusieurs niveaux conçues pour contourner la sécurité traditionnelle et voler des données sensibles souligne l'importance d'avoir une visibilité sur l'ensemble de la chaîne d'approvisionnement logicielle grâce à un scan automatisé rigoureux et à une source unique de vérité pour tous les composants logiciels. »

NPM a été prévenu. Les paquets ont été supprimés. Les utlisateurs les ayant téléchargés doivent impérativement changer les identifiants. Pour l'équipe JFROG, ces paquets montrent une complexité dans le code et les méthodes d'attaques. Les paquets possèdent une obfuscation multiple et des techniques d'évasion avancées. 

Annonce complète de l'attaque : https://jfrog.com/blog/malicious-npm-packages-chrome-browser-information-stealer/?utm_source=press&utm_medium=mediaalert&utm_campaign=npmpackage&utm_content=ma