Hackers backdoor Jscrambler npm package with infostealer malware

1 minute de lecture

Mis à jour :

Compromission de la chaîne d’approvisionnement du paquet npm Jscrambler

Une version malveillante du paquet npm jscrambler a été publiée suite au vol des identifiants de publication de l’entreprise. Bien que l’incident ait été rapidement circonscrit, le paquet compromis a été téléchargé près de 1 500 fois en deux heures.

Points clés :

  • Versions impactées : 8.14, 8.16, 8.17 et 8.20.
  • Mécanisme : Le logiciel malveillant s’exécutait automatiquement via le hook preinstall lors de l’installation du paquet.
  • Technique : Utilisation d’une obfuscation complexe basée sur l’algorithme de chiffrement ChaCha20-Poly1305 pour échapper à l’analyse.
  • Impact : Vol massif de données sensibles (code source, secrets CI/CD, identifiants cloud, portefeuilles de cryptomonnaies, cookies, et données de messageries comme Slack ou Discord).

Vulnérabilités :

  • Compromission des identifiants de publication npm de Jscrambler (aucune CVE spécifique n’est associée, car il s’agit d’une attaque par vol d’identifiants/ingénierie logicielle).

Recommandations :

  • Mise à jour : Assurez-vous d’utiliser la version 8.22 ou ultérieure du paquet jscrambler.
  • Remédiation immédiate : Si vous avez installé l’une des versions compromises, considérez votre environnement de développement comme définitivement compromis.
  • Rotation des secrets : Réinitialisez immédiatement tous les jetons d’accès, clés API (AWS, Azure, GCP), mots de passe, clés SSH et variables d’environnement ayant transité sur les machines touchées.
  • Sécurisation : Jscrambler a révoqué les accès compromis et renforcé les contrôles de sécurité sur son pipeline de publication.

Source