Ce n’est pas la première fois que npm inquiète ses utilisateurs pour des questions de sécurité. Le gestionnaire de paquet a fait face à plusieurs alertes au cours du mois d’octobre, concernant parfois des paquets utilisés par des millions d’utilisateurs.
Le module UA-Parser-JS, utilisé pour l’identification des caractéristiques du navigateur d’un internaute dans une application web, a ainsi été visé par une attaque ayant permis à des tiers malveillants de prendre le contrôle du compte de son créateur afin de pousser une mise à jour contenant un malware. Le développeur à l’origine du projet a expliqué le processus dans un bug report posté le 22 octobre, date à laquelle son compte a été piraté. Les attaquants ont pris le contrôle de son compte et publié trois nouvelles versions de son projet, les versions 0.7.29, 0.8.0, 1.0.0, qui contenaient du code malveillant.
La charge utile du malware a été analysée par la société Sonatype, comme le rapporte Bleeping Computer. Celle ci visait plusieurs effets selon l’environnement sur lequel il était installé : sur les environnements Linux, le malware vérifiait avant tout que le système n’était pas installé en Russie, Ukraine, Biélorussie ou au Kazakhstan, avant d’installer un mineur de cryptomonnaie clandestin. Celui permet à l’attaquant d’exploiter discrètement la puissance de calcul de l’appareil afin de générer des tokens de cryptomonnaie Monero, qui sont ensuite reversés à sur une adresse détenue par les attaquants. Sur les environnements Windows, le code malveillant télécharge également un logiciel visant à voler les mots de passe de l’utilisateur pour une variété de programmes prédéfinis. Parmi la liste des programmes, on retrouve Outlook, Firefox, Chrome, et autres navigateurs, ainsi que d’autres programmes plus spécifiques. Le logiciel malveillant tentera également de voler les mots de passe stockés au sein du Windows Credential Manager.
UA-Parser-JS et les autres
Si le module UA-Parser-JS, est le plus populaire, il n’est pas le seul à avoir été visé par des attaques similaires au cours du mois d’octobre. La société Sonatype a ainsi identifié deux modules baptisés Klow et Klown, qui se présentaient comme des versions légitimes d’UA-Parser-JS, mais qui contenaient des mineurs de cryptomonnaie. Plus récemment, la société a identifié deux autres modules malveillants tentant de se faire passer pour du code provenant de la société éditrice du jeu vidéo Roblox, cette fois-ci pour diffuser des logiciels malveillants de type trouant ou un rançongiciel MBRLocker.
Dans ces cas de figures, pas de prise de contrôle d’un compte appartenant au développeur, mais plutôt une tentative de « typosquatting » en proposant des modules au nom proche d’un module authentique, ou une présentation similaire afin de laisser croire à un utilisateur qu’il est bien en train de récupérer l’original. Ces techniques ne sont pas nouvelles et sont fréquemment utilisées sur npm et d’autres gestionnaires de paquets similaires : les administrateurs du service avaient ainsi alerté sur d’autres attaques de ce type en 2017. La société Sonatype continue de son côté d’en identifier de nouvelles à intervalle régulier.
Ce type d’attaque vise les développeurs travaillant dans le domaine de l’open source. Pour travailler, de nombreux projets s’appuient sur le téléchargement de modules open source contenant du code pour des fonctionnalités nécessaires. Le recours systématique à ces modules tiers en fait une cible de choix pour les pirates informatiques, qui peuvent avoir recours à plusieurs méthodes pour corrompre les modules. Les plateformes de partage de code comme npm cherchent à sécuriser le code mis en ligne sur leurs services, en proposant notamment des outils permettant de tester les vulnérabilités dans les systèmes, tandis que de nombreuses entreprises tierces travaillent à auditer le code mis en ligne par ces plateformes afin de détecter la trace de code potentiellement malveillant.
