Compromission de la chaîne d’approvisionnement : 36 paquets npm malveillants visent les utilisateurs de Strapi

Trente-six paquets malveillants ont été identifiés dans le registre npm, se faisant passer pour des plugins du CMS Strapi. Ces paquets, publiés par quatre comptes distincts, exploitent le script postinstall pour s’exécuter automatiquement lors de l’installation, sans interaction utilisateur, avec les privilèges de l’installateur (y compris dans des environnements Docker ou CI/CD).

Points clés :

• Objectifs : Exécution de code à distance (RCE), vol d’identifiants, exfiltration de données (clés de cryptomonnaies, variables d’environnement) et déploiement de portes dérobées persistantes.
• Méthodes d’attaque : Exploitation de bases de données Redis et PostgreSQL, usage de shells inversés (reverse shells), et scan de fichiers système à la recherche de secrets.
• Ciblage : La sophistication des charges utiles et la recherche de données liées aux cryptomonnaies suggèrent une attaque ciblée contre des plateformes spécialisées.

Vulnérabilités :

• Aucune CVE spécifique n’est associée, l’attaque repose sur l’abus des fonctionnalités natives de npm (postinstall hook) et sur l’ingénierie sociale (typosquatting ou usurpation d’identité de plugin).

Recommandations :

• Supposition de compromission : Si l’un de ces paquets a été installé, considérez que l’environnement est compromis.
• Rotation des secrets : Changez immédiatement toutes les informations d’identification, clés API, jetons et mots de passe présents sur les systèmes concernés.
• Hygiène logicielle : Vérifiez systématiquement la provenance des paquets (les plugins officiels Strapi utilisent le scope @strapi/).
• Sécurisation CI/CD : Appliquez le principe du moindre privilège aux environnements de build et surveillez les scripts d’installation automatique.

Source