Sécurité : Le module JavaScript malveillant n'a été actif sur le gestionnaire de paquets que pendant deux semaines, avant que les équipes de sécurité de Microsoft ne détectent la faille

publicité

Perte d'informations sensibles

L'équipe de sécurité de Node Package Manager (npm), le gestionnaire de paquets de l'écosystème JavaScript, a éliminé aujourd'hui un module malveillant qui volait des informations sensibles sur des systèmes UNIX. Le module en question se nomme 1337qq-js et a été publié sur npm le 30 décembre 2019. Il a été téléchargé au moins 32 fois, avant d'être repéré aujourd'hui par l'équipe de recherche en vulnérabilité de Microsoft.

D'après l'analyse de l'équipe de sécurité de npm, le module récupère des informations sensibles par le biais de scripts d'installation et cible uniquement les systèmes UNIX. Le type de données qu'il collecte comprend :

des variables d'environnement ;

les processus en cours d'exécution ;

/etc/hôtes ;

uname -a ;

le fichier npmrc.

Le vol de variables d'environnement est une faille de sécurité majeure. En effet, certaines informations - comme les mots de passe codés en dur ou encore les jetons d'accès aux API - sont souvent stockées comme des variables d'environnement dans les applications web ou mobile JavaScript. L'équipe npm recommande donc à tous les développeurs qui ont téléchargé ou utilisé ce module JavaScript dans leurs projets de le retirer de leurs systèmes et de se débarrasser de toute information d'identification compromise.





Un incident non isolé

Il s'agit du sixième incident concernant un module malveillant dans npm, bien qu'il soit le moins grave. En effet, les analystes de sécurité de Microsoft ont très vite découvert la faille - deux semaines après sa publication - permettant de le retirer avant qu'il soit vraiment suivi. Pour rappel, les failles de sécurité précédentes avaient permis à des hackers d'accéder à de la cryptomonnaie.





Source : ZDNet.com