Paquet npm malveillant
Qu'est-ce que Paquet npm malveillant ?
Paquet npm malveillantPaquet npm qui dissimule du code destine a voler des donnees, installer du malware ou compromettre les applications qui l'utilisent lors de son installation.
Un paquet npm malveillant abuse de la confiance des developpeurs JavaScript envers le registre public. Les attaquants publient des paquets neufs, reprennent des projets abandonnes ou compromettent des comptes de mainteneurs pour pousser des versions piegees de bibliotheques largement utilisees. Les charges courantes: voleurs de credentials et de tokens, drainers de portefeuilles crypto, droppers qui s'executent a l'installation via les scripts de cycle de vie npm. Cas notables: event-stream (2018), ou un mainteneur reprenant le projet a injecte un voleur de portefeuille Copay; ua-parser-js (2021), dont les versions compromises ont installe un mineur de crypto et un voleur de mots de passe sur des millions de machines. Defenses: lockfiles, --ignore-scripts, 2FA pour mainteneurs, SBOMs, scanners de dependances et attestations de provenance.
● Exemples
- 01
event-stream 2018: un nouveau mainteneur ajoute flatmap-stream pour voler les fonds des portefeuilles Copay.
- 02
ua-parser-js 2021: des versions piratees installent un mineur crypto et un voleur de credentials.
● Questions fréquentes
Qu'est-ce que Paquet npm malveillant ?
Paquet npm qui dissimule du code destine a voler des donnees, installer du malware ou compromettre les applications qui l'utilisent lors de son installation. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Paquet npm malveillant ?
Paquet npm qui dissimule du code destine a voler des donnees, installer du malware ou compromettre les applications qui l'utilisent lors de son installation.
Comment fonctionne Paquet npm malveillant ?
Un paquet npm malveillant abuse de la confiance des developpeurs JavaScript envers le registre public. Les attaquants publient des paquets neufs, reprennent des projets abandonnes ou compromettent des comptes de mainteneurs pour pousser des versions piegees de bibliotheques largement utilisees. Les charges courantes: voleurs de credentials et de tokens, drainers de portefeuilles crypto, droppers qui s'executent a l'installation via les scripts de cycle de vie npm. Cas notables: event-stream (2018), ou un mainteneur reprenant le projet a injecte un voleur de portefeuille Copay; ua-parser-js (2021), dont les versions compromises ont installe un mineur de crypto et un voleur de mots de passe sur des millions de machines. Defenses: lockfiles, --ignore-scripts, 2FA pour mainteneurs, SBOMs, scanners de dependances et attestations de provenance.
Comment se défendre contre Paquet npm malveillant ?
Les défenses contre Paquet npm malveillant combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Paquet npm malveillant ?
Noms alternatifs courants : Paquet piege, Release npm malveillante.
● Termes liés
- attacks№ 1183
Paquet typosquatte
Paquet open source malveillant publie sous un nom tres proche d'une bibliotheque populaire pour que les developpeurs l'installent par erreur.
- appsec№ 304
Attaque par confusion de dépendances
Attaque de chaîne logicielle où un adversaire publie sur un registre public un paquet malveillant portant le même nom qu'une dépendance interne, trompant les outils de build qui récupèrent la version publique.
- attacks№ 1116
Attaque de la chaîne d'approvisionnement
Attaque qui compromet un fournisseur de logiciel, de matériel ou de services de confiance afin d'atteindre ses clients en aval.
- attacks№ 1097
Starjacking
Technique de supply chain ou un paquet malveillant pointe faussement vers un depot GitHub populaire afin d'heriter de ses etoiles, contributeurs et credibilite.
- attacks№ 868
Protestware
Logiciel open source dont le mainteneur ajoute volontairement du code a motivation politique qui affiche un message ou sabote les utilisateurs percus comme provenant d'un pays cible.