Packages npm malveillants se faisant passer pour des outils PostCSS pour propager un RAT W
Des équipes de cybersécurité ont signalé trois packages npm malveillants qui se font passer pour des outils PostCSS légitimes afin d'installer discrètement un cheval de Troie d'accès distant Windows sur les machines des développeurs.
Les packages — aes-decode-runner-pro, postcss-minify-selector et postcss-minify-selector-parser — ont été publiés sur le registre npm au cours du dernier mois par un seul compte utilisateur. Au total, ils ont cumulé des centaines de téléchargements, ce qui indique que des développeurs inconscients ont peut-être déjà intégré ces packages dans leurs pipelines de compilation ou leurs flux de travail.
Examen plus détaillé du leurre
Ces packages reproduisent les noms et les descriptions de plugins PostCSS populaires, exploitant la réputation d'un post-processeur CSS largement utilisé pour échapper aux premiers contrôles. Une fois installés, le code malveillant s'exécute automatiquement pendant le processus de compilation, établissant une porte dérobée persistante sur le système hôte. La charge utile est un cheval de Troie d'accès distant basé sur Windows, offrant aux attaquants la capacité d'exécuter des commandes, d'exfiltrer des données ou de se déplacer vers d'autres systèmes au sein du même réseau.
Pourquoi cela compte maintenant
Les attaques par chaîne d'approvisionnement via des registres de packages comme npm continuent de s'intensifier, exploitant la confiance dans les écosystèmes open source. Les développeurs qui s'appuient sur des packages tiers pour des outils critiques sont de plus en plus exposés lorsque des acteurs malveillants s'approprient des noms de projets familiers. Les équipes de sécurité recommandent d'auditer les dépendances, de vérifier les éditeurs des packages et d'utiliser des outils de balayage automatisés pour détecter du code suspect avant l'intégration.
Source : The Hacker News. Synthèse éditoriale assistée par IA — TechnoExpress.