Les chercheurs en cybersécurité de Check Point ont découvert 16 packages typosquattés sur le référentiel NPM qui installent des mineurs de crypto-monnaie.
NPM est l’un des référentiels JavaScript les plus populaires, hébergeant plus de deux millions de packages open source que les développeurs peuvent utiliser pour accélérer le développement de logiciels.
En tant que tel, il s’agit d’une cible attrayante pour les cybercriminels qui se livrent à des attaques sur la chaîne d’approvisionnement. Les développeurs qui téléchargent des packages malveillants mettent en danger non seulement leurs terminaux, mais également ceux qui finissent par utiliser leurs produits.
Imitation d’un package de test de vitesse
Lors de cet incident, un acteur malveillant inconnu utilisant l’alias « trendava » a téléchargé 16 packages malveillants le 17 janvier, qui prétendent tous être des testeurs de vitesse Internet. Ils ont tous des noms similaires à un véritable testeur de vitesse, mais ils sont conçus pour installer un mineur de crypto-monnaie sur l’appareil cible. Certains des noms sont speedtestbom, speedtestfast, speedtestgo et speedtestgod.
Un mineur de crypto-monnaie utilise la puissance de traitement, l’électricité et Internet de l’ordinateur pour générer des jetons, qui peuvent ensuite être vendus sur un échange de devises fiduciaires (dollars américains, euros, etc.). Lorsqu’il est actif, le mineur prend presque toute la puissance de calcul de l’appareil, le rendant inutile pour autre chose. Les mineurs sont des logiciels malveillants très populaires de nos jours, les acteurs de la menace cherchant à installer XMRig sur des serveurs et d’autres appareils puissants. XMRig exploite Monero (XMR), une pièce de confidentialité presque impossible à tracer.
NPM a supprimé tous les packages malveillants un jour après leur téléchargement, le 18 janvier.
Commentant le fait qu’il existe 16 packages similaires, les chercheurs ont déclaré qu’il est possible que les attaquants se soient livrés à des essais et erreurs :
« Il est juste de supposer que ces différences représentent un essai que l’attaquant a fait, ne sachant pas à l’avance quelle version sera détectée par les outils de détection des packages malveillants et essayant donc différentes manières de cacher leur intention malveillante », a déclaré CheckPoint. « Dans le cadre de cet effort, nous avons vu l’attaquant héberger les fichiers malveillants sur GitLab. Dans certains cas, les packages malveillants interagissaient directement avec les pools de chiffrement, et dans certains cas, ils semblent exploiter les exécutables pour ce besoin. »
La meilleure façon de se protéger contre le typosquatting est d’être prudent lors du déploiement de code open source et d’utiliser uniquement des packages provenant de sources fiables.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)