Selon sandworm.dev, Plus de la moiti de tous les nouveaux packages qui sont actuellement (29 mars 2023) soumis npm sont des spams SEO, notamment des packages vides, avec un seul fichier README contenant des liens vers divers sites Web malveillants.
npm est dsormais incontournable pour les dveloppeurs JavaScript . Apparu avec node.js en 2009 son usage dpasse aujourdhui lenvironnement serveur. Il est de plus en plus utilis pour des applications front et son usage comme outil de dveloppement devient quasi systmatique. De plus il reste simple et permet daccder au plus gros dpt de paquets tous langages confondus.
npm est le gestionnaire de paquets par dfaut pour l’environnement d’excution JavaScript Node.js. npm se compose d’un client en ligne de commande, galement appel npm, et d’une base de donnes en ligne de paquets publics et privs payants, appele le registre npm. Le registre est accessible via le client, et les paquets disponibles peuvent tre parcourus et recherchs via le site Web de npm. Le gestionnaire de paquets et le registre sont grs par npm, Inc.
Le rfrencement est le processus permettant votre site Web de se classer suffisamment haut dans les rsultats de recherche. Une optimisation des moteurs de recherche (SEO) efficace peut conduire plus d’impressions Web, ce qui entrane des clics plus levs et plus de prospects commerciaux. Toutefois, vos rsultats de rfrencement durement gagns peuvent tre dtourns par des pirates informatiques conduisant ce que l’on appelle SEO Spam.
En gnral, le spam SEO (ou spamdexing) se produit lorsque des pirates implantent leurs liens l’intrieur de votre site Web, blog, etc. Ils ciblent vos pages de premier rang et les infiltrent avec leurs liens sans que vous le sachiez. Ces liens de spam restent sur vos pages pendant longtemps et veulent que les visiteurs sans mfiance soient redirigs vers un site tiers qui n’est pas li au site Web hte. En 2019, un rapport indiquait que 73% de tous les sites GoDaddy ont t touchs par le spam SEO. Pour mmoire, GoDaddy est une entreprise amricaine fonde en 1997 qui est spcialise dans la gestion de noms de domaine sur Internet et la mise disposition de services d’hbergement web. En 2010, la socit grait plus de 40 millions de noms de domaines.
Depuis, les techniques de spams CEO ont volu.
D’ailleurs, sur les ~ 320 000 nouveaux packages ou versions npm que Sandworm a analyss au cours de la semaine dernire, au moins ~ 185 000 ont t tiquets comme spam SEO. Sandworm va jusqu’ prciser : Juste au cours de la dernire heure compter de la rdaction de cet article, 1583 nouveaux paquets de spam de livres lectroniques ont t publis .
La plupart des paquets de spam dtects par Sandworm proviennent d’un seul canal Telegram qui semble cibler les russophones. Les noms de packages sont dfinis pour correspondre aux recherches sur divers sujets sensibles, comme la guerre en Ukraine ou les dcisions d’investissement prises par Gazprom. La description du package, cependant, indique ce qui suit*:
Oubliez jamais les problmes financiers : une nouvelle mthode de gain vous permettra de gagner des millions sans sortir de chez vous !
Les liens pointent vers la chane Telegram malveillante, avec plus de 7 000 membres. Tous les packages 93k + analyss ont cette URL de tlgramme identique dans leur description.
Les deuximes plus grands acteurs de spam SEO sur npm sont les publicits plus conventionnelles pour les livres et vidos gratuits en ligne. Ceux-ci conduisent des sites Web qui obligent l’utilisateur effectuer une srie de tches pour obtenir un lien de tlchargement (inexistant), essentiellement en regardant et en interagissant avec les publicits. Les domaines utiliss dans les URL par ces paquets de spam changent beaucoup, ils sont donc plus difficiles dtecter.
Une nouvelle tendance se dessine dans les packages promettant des V-Bucks Fortnite gratuits. Ceux-ci conduisent gnralement les utilisateurs sur des pages o ils sont amens penser qu’ils doivent vrifier qu’ils sont humains en effectuant une srie de tches (encore une fois, des publicits et des enqutes).
npm est de plus en plus la cible d’attaques de cybercriminels ces dernires annes
La bibliothque npm populaire « coa » est dtourne pour voler les mots de passe des utilisateurs
Le jeudi 4 novembre 2021, peine plus d’une semaine aprs le dtournement de ua-parser-js, une autre bibliothque npm populaire appele coa (Command-Option-Argument), utilise dans les paquets React du monde entier, a t dtourne pour distribuer un malware voleur d’informations d’identification. Les dveloppeurs ont remarqu que quelque chose n’allait pas lorsque de nouvelles versions tranges de coa sont apparues sur npm, brisant les constructions de logiciels. Le paquet coa recevrait environ 9 millions de tlchargements hebdomadaires sur npm, et serait utilis par prs de 5 millions de dpts open source sur GitHub.
coa est un analyseur d’options en ligne de commande pour les projets Node.js. La dernire version stable 2.0.2 du projet a t publie en dcembre 2018. Cependant, plusieurs versions suspectes 2.0.3, 2.0.4, 2.1.1, 2.1.3 et 3.1.3 ont commenc apparatre sur npm jeudi, brisant les constructions React qui dpendent de coa. Je ne suis pas sr de la raison ou de ce qui s’est pass, mais il y a 10 minutes, il y a eu une version (mme si la dernire modification sur GitHub date de 2018). Quoi que cette version ait fait, elle a cass Internet , a dclar Roberto Wesley Overdijk, un dveloppeur React.
Plusieurs dveloppeurs ont rejoint la discussion, confirmant avoir rencontr des problmes avec leurs constructions depuis que les nouvelles versions de coa ont fait leur apparition sur npm. Dans la mme journe, il a t constat qu’un autre composant npm couramment utilis, rc, avait galement t dtourn. La bibliothque rc est un chargeur de configuration et fait l’objet de 14 millions de tlchargements par semaine en moyenne. Selon les dveloppeurs ayant signal le dtournement, les deux paquets auraient t compromis peu prs au mme moment et rsultent de l’accs des attaquants au compte d’un dveloppeur de paquets.
Un projet Node.js sur deux audit par les outils de npm aurait au moins une vulnrabilit
La nuit du 11 au 12 juillet 2018, un hacker a accd au compte npm d’un dveloppeur et a inject du code malveillant dans une bibliothque JavaScript populaire, un code conu pour voler les informations d’identification npm des utilisateurs qui utilisent le paquet infect dans leurs projets.
Quelques mois avant, en mai, lquipe a dcouvert une porte drobe dans un paquet JavaScript populaire ; getcookies , un paquet npm relativement rcent (bibliothque JavaScript) qui fonctionne avec les cookies du navigateur. L’quipe npm a analys ce paquet et, dans ses rapports, a indiqu que getcookies contient un systme complexe pour recevoir les commandes d’un attaquant distant qui pourrait cibler n’importe quelle application JavaScript qui a incorpor cette bibliothque. La porte drobe fonctionnait en analysant les requtes HTTP request.headers fournies par l’utilisateur la recherche de donnes spcifiquement formates.
Selon l’quipe npm, la porte drobe permettait un attaquant de saisir du code arbitraire sur un serveur en cours d’excution et de l’excuter . Le module backdoor d’origine a t import dans d’autres paquets. La bibliothque getcookies tait nouvelle et pas trs populaire. L’quipe npm a expliqu qu’elle a dcouvert une chane de dpendances imbriques travers laquelle le paquet getcookies avait indirectement fait partie de la structure d’une bibliothque trs populaire appele Mailparser.
Un mois plus tt, venait la commande audit la version 6 de la ligne de commande ponyme npm. Par la suite, les dveloppeurs avaient la possibilit de taper npm audit partir de la ligne de commande dans un rpertoire de projet Node.js, gnrant une liste des vulnrabilits connues affectant les dpendances de paquets issues du code stock dans le registre NPM.
Mieux encore, il suffirait de taper npm install (la commande pour remplir un projet Node.js avec les paquets dclars dans le fichier package.json) pour lancer un audit de scurit automatique.
« node-ipc » est un module Node.js pour « la communication interprocessus locale et distante » avec un support complet pour Linux, Mac et Windows. Il supporte galement toutes les formes de communication par socket, des sockets bas niveau d’Unix et de Windows aux sockets UDP et scuriss TLS et TCP. Avec plus de 1,1 million de tlchargements hebdomadaires, node-ipc est un paquet important utilis par des bibliothques majeures comme Vue.js CLI. Cependant, le dveloppe de node-ipc, Brandon Nozaki Miller, a sabot le paquet pour nuire aux utilisateurs se trouvant en Russie ou en Bilorussie, en vue de militer contre l’invasion russe en Ukraine.
Tout a commenc le 8 mars 2022 lorsque Miller, plus connu sous le pseudonyme RIAEvangelist, a publi deux paquets open source appels « peacenotwar » et « oneday-test » sur npm et GitHub. Les paquets semblent avoir t crs l’origine par Miller comme un moyen de protestation pacifique, car ils ajoutent principalement un « message de paix » sur le bureau de tout utilisateur qui installe les paquets. Ce code sert d’exemple non destructeur de la raison pour laquelle le contrle de vos modules Node.js est important. Il sert galement de protestation non violente contre l’agression de la Russie qui menace le monde en ce moment , explique RIAEvangelist.
Mais le chaos s’est install lorsque certaines versions npm de node-ipc ont t vues lanant une charge utile destructrice vers toutes les donnes et crasant tous les fichiers des utilisateurs installant le paquet. Fait intressant, le code malveillant lisait l’adresse IP externe du systme et ne supprimait que les fichiers des utilisateurs bass en Russie et en Bilorussie. Le code malveillant prsent dans node-ipc, en particulier dans le fichier « ssl-geospec.js », contient des chanes codes en base64 et des techniques d’obscurcissement pour masquer son vritable objectif. Snyk, une startup spcialise en cyberscurit, a suivi et document les faits.
Une copie simplifie du code fournie par les chercheurs de Snyk montre que pour les utilisateurs bass en Russie ou en Bilorussie, le code rcrit le contenu de tous les fichiers prsents sur un systme avec un moji de cur, ce qui a pour effet de supprimer toutes les donnes sur un systme. Mais ce n’est pas tout. Les chercheurs ont rapport que comme les versions 9.2.2, 11.0.0 et les versions suprieures 11.0.0 de node-ipc intgrent le module « peacenotwar », les utilisateurs concerns ont vu des fichiers ‘WITH-LOVE-FROM-AMERICA.txt’ apparatre sur leur bureau avec des messages de ‘paix’ (comme le montre l’image ci-dessous).
Selon les chercheurs, cet acte reprsente un rel danger pour les utilisateurs de node-ipc bass dans ces rgions. ce stade, un abus trs clair et un incident critique de scurit de la chane d’approvisionnement se produiront pour tout systme sur lequel ce paquet npm sera appel, s’il correspond une golocalisation de la Russie ou de la Bilorussie , crit Liran Tal, directeur de la dfense des dveloppeurs chez Snyk dans un billet de blogue. En outre, cet acte de sabotage a dclench une panique gnrale dans la communaut du framework JavaScript de dveloppement front-end Vue.js, qui utilise galement node-ipc comme dpendance.
Source : Sandworm
Et vous ?
Utilisez-vous npm ?
Qu’est-ce qui pourrait, selon vous, expliquer la situation observe par Sandworm ?
Comment procdez-vous (ou comment procde votre entreprise), en matire de scurit pour les bribes logicielles open source de votre code ? Que recommanderiez-vous quelqu’un qui