NPM et crates.io : attention nouvelles campagnes de malwares, +40 packages compromis

Par:
francoistonic

mar, 16/09/2025 - 08:52

Les semaines se suivent et se ressemblent. NPM subit une nouvelle campagne de malwares. Plus de 40 packages disponibles sur NPM seraient en cause. Le script bundle.js permet de faire une injection de code malveillant, d'introduire un trojan ou encore de modifier les archives. Bundle.js est un script connu. Il permet d'introduire TruffleHog, un scanneur de secrets pour repérer et récuper les données de connexion. 

Attention : crates.io a subi une attaque via une technique de phishing. L'annonce a été faite officiellement par le blog Rust le 12 septembre. L'attaque se fait par un faux mail provenant de rustfoundation.dev. "Ces e-mails sont malveillants et proviennent d'un nom de domaine non contrôlé par la Fondation Rust (ni par le projet Rust), apparemment dans le but de voler vos identifiants GitHub. Nous n'avons aucune preuve d'une compromission de l'infrastructure de crates.io." explique Rust.

La liste des paquets NPM compromis :

  • angulartics2@14.1.2
  • @ctrl/deluge@7.2.2
  • @ctrl/golang-template@1.4.3
  • @ctrl/magnet-link@4.0.4
  • @ctrl/ngx-codemirror@7.0.2
  • @ctrl/ngx-csv@6.0.2
  • @ctrl/ngx-emoji-mart@9.2.2
  • @ctrl/ngx-rightclick@4.0.2
  • @ctrl/qbittorrent@9.7.2
  • @ctrl/react-adsense@2.0.2
  • @ctrl/shared-torrent@6.3.2
  • @ctrl/tinycolor@4.1.1, @4.1.2
  • @ctrl/torrent-file@4.1.2
  • @ctrl/transmission@7.3.1
  • @ctrl/ts-base32@4.0.2
  • encounter-playground@0.0.5
  • json-rules-engine-simplified@0.2.4, 0.2.1
  • koa2-swagger-ui@5.11.2, 5.11.1
  • @nativescript-community/gesturehandler@2.0.35
  • @nativescript-community/sentry 4.6.43
  • @nativescript-community/text@1.6.13
  • @nativescript-community/ui-collectionview@6.0.6
  • @nativescript-community/ui-drawer@0.1.30
  • @nativescript-community/ui-image@4.5.6
  • @nativescript-community/ui-material-bottomsheet@7.2.72
  • @nativescript-community/ui-material-core@7.2.76
  • @nativescript-community/ui-material-core-tabs@7.2.76
  • ngx-color@10.0.2
  • ngx-toastr@19.0.2
  • ngx-trend@8.0.1
  • react-complaint-image@0.0.35
  • react-jsonschema-form-conditionals@0.3.21
  • react-jsonschema-form-extras@1.0.4
  • rxnt-authentication@0.0.6
  • rxnt-healthchecks-nestjs@1.0.5
  • rxnt-kue@1.0.7
  • swc-plugin-component-annotate@1.9.2
  • ts-gaussian@3.0.6