Dans un nouveau scénario d'attaque de la chaîne d'approvisionnement ciblant des répertoires de logiciels open-source, deux modules NPM populaires ayant fait l'objet de près de 22 millions de téléchargements par semaine, ont été compromis par un code malveillant provenant d'un accès non autorisé aux comptes correspondants des développeurs.

npm est le gestionnaire de paquets par défaut pour l'environnement d'exécution JavaScript Node.js. Il consiste d'un client de ligne de commande, aussi appelé npm, et d'une base de données en ligne de modules publics et privés payants, appelée le registre npm.

Les deux bibliothèques en question sont "coa", un analyseur syntaxique d'options de ligne de commande, et "rc" un chargeur de configuration. Tous deux ont été modifiés par un acteur non identifié pour inclure un malware de vol de mot de passe dans leurs codes.

Une analyse supplémentaire des échantillons de logiciels malveillants montre qu'il s'agit d'une variante de malware DanaBot , un logiciel malveillant Windows permettant de voler des informations d'identification et des mots de passe, faisant écho à deux incidents similaires survenus le mois dernier, qui ont entraîné la compromission de UAParser.js ainsi que la publication de bibliothèques NPM Roblox malveillantes et typosquattées.

Toutes les versions de coa débutant par 2.0.3 et plus - 2.0.3, 2.0.4, 2.1.1, 2.1.3, 3.0.1 et 3.1.3 - sont concernées, et les utilisateurs des versions affectées sont invités à rétrograder vers la version 2.0.2 dès que possible et à vérifier leurs systèmes pour détecter toute activité suspecte, selon un avis de GitHub publié le 4 novembre. Dans le même ordre d'idées, les versions 1.2.9, 1.3.9 et 2.3.9 de rc contiennent des logiciels malveillants, et une alerte distincte invite les utilisateurs à passer à la version 1.2.8.

NPM incite ses utilisateurs à protéger leurs comptes et leurs paquets contre des attaques similaires, et recommande l'activation d'authentification à deux facteurs sur ses comptes.