Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Malicious Go, npm Packages Deliver Cross-Platform Malware, Trigger Remote Data Wipes

2 minute de lecture

Mis à jour :

Paquets malveillants Go et npm : menaces multiplateformes et effacement de données à distance

Des chercheurs en cybersécurité ont identifié plusieurs paquets malveillants conçus pour cibler les écosystèmes de développement Go et npm.

Points clés :

  • Malware Go : 11 paquets Go compromis, hébergés sur GitHub, téléchargent et exécutent des charges utiles secondaires sur les systèmes Windows et Linux. Ces charges utiles sont capables de collecter des informations sur l’hôte et d’accéder aux données des navigateurs web. L’écosystème Go décentralisé et la similitude des noms de paquets créent de la confusion et facilitent l’intégration involontaire de code malveillant par les développeurs. L’exploitation des vulnérabilités de la chaîne d’approvisionnement logicielle reste un vecteur d’attaque pertinent.
  • Malware npm : Deux paquets npm, naya-flore et nvlore-hsc, se faisant passer pour des bibliothèques de socket WhatsApp, peuvent effacer à distance le contenu des systèmes des développeurs. Ils vérifient la présence d’un numéro de téléphone dans une base de données externe (sur GitHub) ; si le numéro n’est pas trouvé, ils exécutent une commande d’effacement de fichiers (rm -rf *). Ces paquets ont également été trouvés avec des fonctionnalités d’exfiltration de données commentées et un token d’accès personnel GitHub potentiellement exposé, suggérant un développement inachevé ou des intentions futures.

Vulnérabilités identifiées :

  • Go Packages: Aucune CVE spécifique n’est mentionnée pour les paquets Go dans l’article. Les vulnérabilités exploitées sont d’ordre structurel dans l’écosystème Go (décentralisation, confusion des noms) et la conception des paquets malveillants (obfuscation, téléchargement de charges utiles).
  • npm Packages: Aucune CVE spécifique n’est mentionnée pour les paquets npm dans l’article. La vulnérabilité réside dans la fonctionnalité d’effacement à distance déclenchée par une liste de numéros de téléphone et l’exfiltration de données. Le token d’accès personnel GitHub exposé pourrait représenter une vulnérabilité pour les dépôts privés.

Recommandations :

  • Vigilance accrue : Examiner attentivement les dépendances logicielles importées, en particulier celles issues de dépôts publics.
  • Vérification des sources : S’assurer de l’authenticité et de la réputation des paquets avant de les intégrer dans des projets.
  • Gestion des dépendances : Mettre en place des processus de revue et de validation des bibliothèques tierces.
  • Surveillance continue : Maintenir une veille sur les menaces émergentes dans les registres de paquets open source.
  • Sécurisation des chaînes d’approvisionnement : Renforcer les mesures de sécurité tout au long du cycle de développement logiciel.

Source

Vous pourriez aimer

Weekly Update 484

1 minute de lecture

Mis à jour :

Mises à jour hebdomadaires et aperçu des menaces