Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

PhantomRaven Malware Found in 126 npm Packages Stealing GitHub Tokens From Devs

2 minute de lecture

Mis à jour :

PhantomRaven : Malware Caché dans les Packages npm

Une campagne de cyberattaque sophistiquée, nommée “PhantomRaven”, a ciblé le registre npm, compromettant 126 paquets de logiciels. Ces paquets, qui ont été installés plus de 86 000 fois depuis août 2025, sont conçus pour dérober des jetons d’authentification GitHub, des secrets d’intégration et de déploiement continus (CI/CD), ainsi que d’autres informations sensibles sur les machines des développeurs.

L’attaque se distingue par la technique utilisée : le code malveillant est dissimulé dans des dépendances qui pointent vers un serveur HTTP personnalisé (“packages.storeartifact[.]com”) au lieu du registre npm officiel. Cette approche permet de contourner les outils de sécurité traditionnels qui ignorent ces dépendances externes. Le code malveillant est exécuté automatiquement lors de l’installation du paquet via des scripts de cycle de vie (preinstall, install, postinstall). Il collecte ensuite des adresses e-mail, des informations sur l’environnement CI/CD, des données système et l’adresse IP publique avant de les envoyer à un serveur distant.

L’attaquant exploite également le phénomène de “slopsquatting” en utilisant des noms de paquets plausibles, potentiellement issus d’hallucinations de grands modèles linguistiques, pour inciter les développeurs à les installer.

Il n’y a pas de CVE spécifique mentionné dans l’article pour cette campagne.

Points Clés :

  • Nom de la campagne : PhantomRaven
  • Cible : Registre npm
  • Nombre de paquets compromis : 126
  • Nombre d’installations : Plus de 86 000
  • Méthode d’attaque : Dépôt de code malveillant dans des dépendances pointant vers des serveurs externes non fiables.
  • Objectif : Vol de jetons d’authentification GitHub, secrets CI/CD et autres informations sensibles.
  • Exécution du malware : Via des scripts de cycle de vie (preinstall, install, postinstall) lors de l’installation.
  • Technique de dissimulation : Utilisation de dépendances externes non visibles par les scanners statiques et exploitation du “slopsquatting”.

Recommandations :

  • Être vigilant quant aux dépendances des paquets npm, en particulier celles qui ne proviennent pas du registre officiel.
  • Examiner attentivement les scripts de cycle de vie des paquets avant l’installation.
  • Utiliser des outils d’analyse de sécurité des dépendances avancés capables d’identifier les dépendances externes et potentiellement malveillantes.
  • Mettre à jour régulièrement les outils de sécurité et les pratiques de développement pour contrer les menaces émergentes dans les écosystèmes open source.

Source

Vous pourriez aimer

Weekly Update 484

1 minute de lecture

Mis à jour :

Mises à jour hebdomadaires et aperçu des menaces