Récemment, des chercheurs de Datadog ont alerté sur la découverte de 23 versions d’un malware nommé Vidar dans des paquets malveillants hébergés sur le référentiel npm (Node Package Manager). Ces paquets, qui se présentent comme des bibliothèques légitimes destinées à aider les développeurs, incluent des fonctions de bot Telegram et des bibliothèques d’icônes, mais leur véritable objectif est d’exécuter l’infostealer Vidar sur les systèmes infectés. Cette situation souligne les risques croissants associés à l’utilisation de code open source et met en évidence la nécessité de pratiques de sécurité robustes dans les environnements de développement.
Comment cela fonctionne-t-il ?
Le malware Vidar utilise une technique appelée typosquatting, où des paquets sont nommés de manière similaire à des paquets populaires afin d’induire les développeurs en erreur. Par exemple, certains de ces paquets apparentaient à des forks d’outils populaires, trompant ainsi les développeurs qui recherchaient des solutions réputées. Une fois installés, ces paquets expriment des scripts de post-installation qui mettent en place le malware sur le système cible. Selon les estimations, ces paquets ont été téléchargés au moins 2 240 fois, tragédie aggravée par le fait qu’ils étaient disponibles sur npm pendant deux semaines avant d’être supprimés.
Impact et implications
Les conséquences de cette compromission sont potentiellement désastreuses. En effet, le malware peut voler des identifiants, insérer des portes dérobées dans le code et propager du code malveillant aux clients des développeurs. Des chercheurs ont déjà repéré des centaines de paquets douteux sur npm, ce qui montre une tendance alarmante dans les chaînes d’approvisionnement logicielles.
Mesures recommandées
Pour contrer ces menaces, plusieurs mesures peuvent être adoptées :
- Sensibilisation des développeurs : Il est crucial que les développeurs et les responsables IT soient formés aux risques de typosquatting et aux méthodes de vérification de la sécurité des composants.
- Gestion des dépendances : Les entreprises doivent établir un inventaire des composants logiciels utilisés, combiné à des audits réguliers pour éviter l’introduction de paquets malveillants.
- Meilleures pratiques de sécurité : L’utilisation de nomenclatures logicielles, d’analyses de compatibilité logicielle et de référentiels internes pour les paquets approuvés peut renforcer la sécurité.
De plus, l’utilisation de stratégies de sécurité proactives, comme des scans en temps réel lors de l’installation de paquets, pourrait permettre de détecter rapidement les menaces avant même qu’elles ne prennent effet.
En résumé, l’attaque par le malware Vidar via des paquets npm souligne la vulnérabilité inhérente aux chaînes d’approvisionnement open source. Les entreprises doivent intensifier leurs efforts de prévention et de protection afin de sécuriser leurs environnements de développement.
Pour en savoir plus, consultez l’article original sur Le Monde Informatique : Le malware Vidar se niche dans des paquets npm malveillants.
