Hackers backdoor Jscrambler npm package with infostealer malware
Mis à jour :
Compromission de la chaîne d’approvisionnement du paquet npm Jscrambler
Une version malveillante du paquet npm jscrambler a été publiée suite au vol des identifiants de publication de l’entreprise. Bien que l’incident ait été rapidement circonscrit, le paquet compromis a été téléchargé près de 1 500 fois en deux heures.
Points clés :
- Versions impactées : 8.14, 8.16, 8.17 et 8.20.
- Mécanisme : Le logiciel malveillant s’exécutait automatiquement via le hook
preinstalllors de l’installation du paquet. - Technique : Utilisation d’une obfuscation complexe basée sur l’algorithme de chiffrement ChaCha20-Poly1305 pour échapper à l’analyse.
- Impact : Vol massif de données sensibles (code source, secrets CI/CD, identifiants cloud, portefeuilles de cryptomonnaies, cookies, et données de messageries comme Slack ou Discord).
Vulnérabilités :
- Compromission des identifiants de publication npm de Jscrambler (aucune CVE spécifique n’est associée, car il s’agit d’une attaque par vol d’identifiants/ingénierie logicielle).
Recommandations :
- Mise à jour : Assurez-vous d’utiliser la version 8.22 ou ultérieure du paquet
jscrambler. - Remédiation immédiate : Si vous avez installé l’une des versions compromises, considérez votre environnement de développement comme définitivement compromis.
- Rotation des secrets : Réinitialisez immédiatement tous les jetons d’accès, clés API (AWS, Azure, GCP), mots de passe, clés SSH et variables d’environnement ayant transité sur les machines touchées.
- Sécurisation : Jscrambler a révoqué les accès compromis et renforcé les contrôles de sécurité sur son pipeline de publication.
