Propagation de malwares via des paquets npm malveillants

Quatre paquets npm fraudueux, publiés par l’utilisateur « deadcode09284814 », ont été identifiés comme vecteurs de menaces informatiques. Ces paquets exploitent des techniques de typo-squatting et s’appuient sur le code source du ver Shai-Hulud rendu public récemment.

Points clés :

• Paquets identifiés : chalk-tempalte, @deadcode09284814/axios-util, axois-utils, color-style-utils.
• Nature des menaces :
  • axois-utils déploie le botnet Phantom Bot (Golang), capable de mener des attaques DDoS (HTTP, TCP, UDP) et d’assurer sa persistance sur Windows et Linux.
  • Les trois autres paquets agissent comme des infostealers (voleurs d’informations), exfiltrant des clés SSH, des identifiants cloud, des variables d’environnement et des données de portefeuilles de cryptomonnaies vers des serveurs de commande et contrôle (C2).
  • chalk-tempalte utilise directement le code du ver Shai-Hulud pour exfiltrer des jetons GitHub vers des dépôts publics.

Vulnérabilités : Aucune CVE spécifique n’est associée à ces paquets, car il s’agit d’une attaque par empoisonnement de la chaîne d’approvisionnement (Supply Chain Attack) par l’ajout intentionnel de code malveillant dans des bibliothèques logicielles.

Recommandations :

• Suppression immédiate : Désinstaller les paquets suspects et nettoyer les configurations dans les IDE et agents de développement.
• Sécurisation : Révoquer et renouveler tous les secrets, clés API et jetons GitHub qui auraient pu être compromis.
• Audit : Rechercher sur GitHub la présence de dépôts contenant la mention « A Mini Sha1-Hulud has Appeared » et les supprimer.
• Filtrage réseau : Bloquer les communications vers les domaines et adresses IP associés au C2 (ex: 87e0bbc636999b.lhr[.]life, 80.200.28[.]28).

Source