Paquet open source avec 1 million de téléchargements mensuels a volé les identifiants des utilisateurs
Un paquet populaire de bibliothèque de codes open source utilisé dans des projets JavaScript a été compromis pour voler les identifiants de connexion des développeurs, selon des chercheurs en sécurité.
Le paquet, appelé @rspack/core, a été téléchargé plus d’un million de fois au cours du mois dernier, selon le registre de paquets npm. Il est utilisé par les développeurs pour regrouper et optimiser les applications JavaScript.
Les chercheurs en sécurité de Socket ont découvert que le paquet avait été modifié pour inclure du code malveillant qui tentait de voler des identifiants de connexion et d’autres informations sensibles des machines des développeurs.
Le code malveillant, qui a été ajouté dans la version 1.1.7 du paquet publiée le 10 janvier, tentait de voler des jetons d’authentification pour des services populaires comme npm, GitHub et d’autres plateformes de développement.
L’attaque a été découverte après que des utilisateurs ont signalé un comportement suspect et que Socket a analysé le code du paquet. Les chercheurs ont constaté que le paquet modifié envoyait les informations volées à un serveur contrôlé par les attaquants.
Les développeurs qui ont téléchargé et utilisé la version 1.1.7 du paquet sont invités à révoquer immédiatement tous leurs jetons d’authentification et identifiants de connexion. Ils devraient également analyser leurs systèmes à la recherche de signes de compromission.
Le paquet malveillant a depuis été supprimé du registre npm, mais les chercheurs avertissent que des milliers de développeurs peuvent avoir été affectés pendant la période où il était disponible.
Cet incident souligne les risques liés à l’utilisation de paquets open source et l’importance de surveiller les dépendances pour détecter les modifications suspectes. Les attaques sur la chaîne d’approvisionnement logicielle sont devenues de plus en plus courantes, les attaquants ciblant les bibliothèques populaires pour compromettre un grand nombre d’utilisateurs.
Les développeurs sont encouragés à utiliser des outils de sécurité qui peuvent détecter les modifications malveillantes dans les dépendances et à suivre les meilleures pratiques pour sécuriser leurs environnements de développement.
