Récemment, des chercheurs en sécurité ont découvert une campagne qui a introduit des paquets malveillants dans l'enregistrement npm posant comme des suppléments à Strapi, le populaire CMS de Node.js. Le piège n'était pas dans une explosion complexe de zéro jour, mais dans quelque chose de beaucoup plus insidieux: paquets avec des noms convaincants et un script post-installation qui fonctionne automatiquement lors de l'installation.
Les paquets détectés partagent un pattern évident : les noms qui ont commencé par "strapi-plugin" suivis de termes tels que "cron", "database" ou "serveur", assez pour confondre les développeurs en cherchant des extensions de communauté. Cette imitation était délibérée: les suppléments officiels de Strapi utilisent une portée différente (emballé sous @ sangle /), quelque chose qui est souvent négligé lorsque des recherches rapides sont faites à npm. Si vous voulez vérifier comment Strapi documente le développement de plugins, votre guide officiel est disponible à Docs.strapi.io.
Le principal vecteur d'abus était le crochet npm post-installation. Les scripts associés à cette phase s'exécutent automatiquement pendant "npm install" et héritent des permissions de l'utilisateur à l'installation - qui se convertit en environnements avec des privilèges élevés, tels que les pipelines CI / CD ou les conteneurs Docker exécutés comme root, dans des cibles extrêmement précieuses pour les attaquants. La documentation officielle de npm sur les scripts du cycle de vie explique ce comportement et pourquoi il doit être traité avec prudence: docs.npmjs.com.
L'analyse technique de ces paquets montre une nette progression dans les cibles de l'attaquant. Dans les premières étapes, on a cherché à exploiter les instances Reis accessibles localement pour réaliser l'exécution de commandes à distance, en injectant des entrées chronob qui téléchargent et exécutent régulièrement des scripts. Ces scripts ont essayé de laisser des shells web dans des dossiers publics Strapi, de déployer des shells inversés via SSH et de scanner le disque pour des secrets, des clés de service aux graines de portefeuille de cryptomonéda.
Lorsque ces tentatives étaient insuffisantes dans certains environnements, la campagne s'orientait vers des tactiques plus diverses et plus furtives : combiner l'exploitation des Rouges avec des techniques pour s'échapper des conteneurs Docker et écrire des charges utiles en dehors de l'environnement isolé; lancer des obus inverses directs dans des ports connus; et, très pertinent, chercher des chaînes de connexion aux bases de données PostgreSQLTM et des références intégrées qui permettent un accès direct à des informations sensibles.
Au fil du temps, les charges utiles se sont davantage concentrées sur la reconnaissance et l'exfiltration de variables d'environnement, l'extraction de configurations Strapi, le déversement de bases de données Reis par des commandes telles qu'INFO, DBSIZE et KEYS, et la collecte de secrets de Docker et Kubernetes. Dans certains cas, les attaquants ont utilisé des identifiants codés pour se connecter aux bases de données PostgreSQLTM et consulter les tableaux spécifiques de Strapi pour les données ciblant les actifs numériques - indiquant que l'opération a pu être dirigée vers des plateformes liées à cryptomoneda.
Enfin, il y a eu une phase de consolidation : déploiement d'un implant persistant destiné à un hôte spécifique, mécanismes pour voler les justificatifs d'identité des itinéraires connus et maintenir un accès continu à travers des coquilles persistantes. Selon les chercheurs, la campagne a montré une narration typique : des tentatives agressives d'exécution à distance, suivies d'une reconnaissance quand cela n'a pas donné ce qui était attendu, et qui a abouti à un accès et à une exfiltration persistants.
Ce type d'incident s'inscrit dans une tendance plus large : la chaîne d'approvisionnement des logiciels est devenue une cible privilégiée pour les acteurs des ressources. Les rapports de l'industrie soulignent comment les agresseurs ont engagé des paquets et des flux de déploiement pour atteindre plusieurs victimes en même temps. Si vous voulez lire une analyse sectorielle de l'évolution de ces attaques, Group-IB a publié un rapport résumant la façon dont les campagnes anti-chaîne d'approvisionnement modifient le paysage des menaces : group-ib.com / blog.
Que devrait faire une équipe technique qui découvre qu'elle a utilisé une de ces unités? La chose sage est de s'engager : faire pivoter toutes les références touchées, examiner et retirer les clés et les jetons exposés, et reconstruire les images et les artefacts des sources de confiance après avoir nettoyé ou remplacé les dépendances. Il est également recommandé de vérifier les journaux CI / CD et les contrôles d'accès, car un script qui a été exécuté avec des permissions élevées peut avoir placé des portes arrière hors du champ du dépôt.
En ce qui concerne la détection et l'assainissement, il convient de rechercher des indicateurs tels que des paquets avec des noms non officiels qui imitent une marque (p. ex. des plugins qui n'utilisent pas la portée officielle), des vérifications de l'intégrité de l'arbre unitaire (package-lock.json, fil.lock) et des vérifications des scripts du cycle de vie en paquet. Json. Des outils de sécurité spécialisés pour les logiciels de chaîne d'approvisionnement, ainsi que des scanners d'unité et des fournisseurs de sécurité open source aident à automatiser ces vérifications; si vous voulez explorer des solutions commerciales et communautaires, des projets comme Snyk offrent des ressources et des guides pratiques: Snyk.io.
Outre les processus et les outils de durcissement, il existe des pratiques spécifiques qui réduisent les risques : limiter l'exécution de scripts automatiques dans des environnements sensibles, exécuter des bâtiments et des conteneurs avec le moins de privilège possible, et mettre en place des politiques pour empêcher l'installation de paquets non vérifiés dans des pipelines critiques. GitHub et d'autres plateformes offrent des contrôles et des recommandations pour protéger les jetons et les secrets dans l'IC, et la communauté du PAOAO maintient des ressources pour comprendre et atténuer les risques dans la chaîne d'approvisionnement : owasp.org.
Cet incident rappelle aussi une règle fondamentale mais puissante : la confiance dans l'écosystème du paquet est une porte - et parfois une porte ouverte -. Renforcer l'hygiène des dépendances, exiger l'examen des tiers et maintenir la traçabilité des origines sont des mesures qui paieront des dividendes lorsque la prochaine campagne tentera de s'habiller dans une amélioration inoffensive.
Si vous gérez des projets en utilisant npm et Strapi, vérifiez vos dépendances pour les noms suspects et vérifiez si quelqu'un a installé des paquets avec des patrons de noms qui imitent les plugins. Le nettoyage de l'environnement, les références tournantes et la reconstruction des artefacts à partir de sources fiables constituent la réponse minimale. Pour vous tenir au courant des vulnérabilités et des avertissements officiels, vous pouvez également consulter les bases de données de la publicité de sécurité, telles que GitHub: github.com / avis, et le dépôt publicitaire npm sur votre page d'accueil.
Bref : nous voyons à nouveau comment la distribution de paquets est utilisée comme canal d'attaque. La bonne nouvelle est que bon nombre des mesures défensives sont connues et réalisables : des politiques de privilège minimum, un contrôle strict des dépendances et une rotation immédiate des secrets atténueront une grande partie de l'impact. Mais pour maintenir l'avantage, l'ensemble du secteur - les responsables, les plateformes et les consommateurs de logiciels - doit continuer à améliorer les pratiques, à partager les indicateurs et à réagir rapidement à ces campagnes.
Si vous souhaitez approfondir les détails techniques de ce type d'attaques et comprendre les recommandations pour les atténuer, je vous suggère de commencer par les lignes directrices Strapi pour le développement de plugins, la documentation npm sur les scripts et les collections sectorielles sur la chaîne d'approvisionnement disponibles dans les sources énumérées ci-dessus.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...