Paquets npm AsyncAPI infectés par un malware voleur d’identifiants

Cinq versions malveillantes de paquets AsyncAPI ont été introduites dans le registre npm, exposant les développeurs à une attaque par la chaîne d’approvisionnement qui installe un cheval de Troie d’accès à distance (RAT) capable de voler des identifiants et de récupérer des données.
Des chercheurs en cybersécurité ont signalé que ces paquets frauduleux — publiés sous des noms comme asyncapi-generator-web-api, asyncapi-generator-react-sdk ou encore d’autres — contenaient du JavaScript obfusqué conçu pour exfiltrer des variables d’environnement, des données de navigateur et des informations système vers des serveurs contrôlés par les attaquants. Une fois installés via npm install, le malware s’installe en persistance sur la machine du développeur, permettant un accès distant non autorisé et une compromission supplémentaire des systèmes connectés.
Un schéma connu, toujours efficace
Cet incident reflète une menace récurrente dans les écosystèmes open source : les attaquants exploitent la confiance que les développeurs accordent aux noms de paquets largement utilisés pour diffuser du code malveillant. Les paquets AsyncAPI, qui prétendent faciliter la documentation et la génération d’API, ont probablement été choisis pour leur légitimité perçue auprès des équipes de développement backend et spécialisées dans les API. En s’appuyant sur un espace de noms reconnaissable, les attaquants ont augmenté les chances que les paquets soient adoptés sans vérification approfondie.
Que doivent vérifier les développeurs ?
Les utilisateurs ayant installé l’une des cinq versions signalées — notamment asyncapi-react-component, asyncapi-generator-web-api, asyncapi-generator-react-sdk, asyncapi-tools et asyncapi-generator-filters — sont invités à auditer immédiatement leurs environnements. La suppression des paquets et un changement complet des identifiants sont des étapes cruciales, car le malware est capable de récupérer des mots de passe stockés et des jetons d’authentification. npm a depuis retiré les paquets malveillants, mais l’enseignement reste entier : les attaques par la chaîne d’approvisionnement continuent d’exploiter les lacunes en matière de vérification des paquets et des dépendances transitives.
Pourquoi est-ce important ?
Les attaques par la chaîne d’approvisionnement sur npm restent une stratégie peu coûteuse mais à fort impact pour les cybercriminels, ciblant aussi bien les développeurs individuels que les organisations dépendantes des bibliothèques open source. L’utilisation d’un RAT doté de fonctionnalités de vol d’identifiants montre comment les attaquants évoluent au-delà des simples charges utiles de minage de cryptomonnaies pour monétiser les machines des développeurs compromis. Pour les équipes techniques, cela souligne la nécessité de renforcer les vérifications d’origine des paquets, d’intégrer des scans automatisés dans les pipelines CI/CD et de disposer de plans d’intervention rapides lorsque du code malveillant parvient inévitablement à s’infiltrer.
Source : BleepingComputer. Synthèse éditoriale assistée par IA — TechnoExpress.

