Une attaque ciblée contre le registre npm a suscité des préoccupations significatives au sein de la communauté des développeurs de logiciels, affectant plus de 40 paquets et permettant l’injection de scripts malveillants. Selon les chercheurs en cybersécurité, l’attaque se concentre sur des versions compromises contenant une fonction qui télécharge et modifie des paquets, puis injecte un script local nommé ‘bundle.js’. Ce script est conçu pour télécharger et exécuter TruffleHog, un outil légitime de scan de secrets, dans le but de rechercher des tokens et des identifiants sur les machines des développeurs.
Auditer les environnements
L’attaque peut s’exécuter sur des systèmes Windows et Linux, ce qui augmente la gravité de la situation. Parmi les éléments que recherche TruffleHog, on trouve des informations d’identification sensibles telles que GITHUB_TOKEN, NPM_TOKEN, AWS_ACCESS_KEY_ID et AWS_SECRET_ACCESS_KEY. Selon la société de sécurité Socket, le script valide également les tokens npm et peut interagir avec les API de GitHub, facilitant l’exfiltration de données vers un serveur externe contrôlé par les attaquants.
La communauté des développeurs a été invitée à auditer ses environnements et à faire tourner les tokens npm, ainsi que d’autres secrets exposés, si des paquets affectés sont trouvés. Aussi, des e-mails malveillants provenant d’un domaine faux ont été signalés, tentant de voler des identifiants GitHub. Ces messages avertissent d’une prétendue violation de l’infrastructure de crates.io et suggèrent aux utilisateurs de cliquer sur des liens pour changer leurs informations de connexion.
L’équipe du Rust Security Response Working Group a confirmé que ces e-mails sont frauduleux et proviennent d’un domaine non contrôlé par la Fondation Rust. Des mesures sont prises pour surveiller l’activité suspecte sur crates.io et des efforts sont en cours pour éliminer le domaine de phishing.