Des chercheurs de ReversingLabs ont signalé plusieurs paquets npm malveillants trouvés dans le référentiel open-source qui ont été utilisés dans des attaques de la chaîne d'approvisionnement et des campagnes de phishing. Ces paquets représentent une double menace, car ils n'impactent pas seulement les utilisateurs finaux d'applications, mais soutiennent également des attaques de phishing par email, ciblant principalement les utilisateurs de Microsoft 365.

Lucija Valentić, chercheur en menaces logicielles, a révélé que l'équipe de recherche a découvert plus d'une douzaine de paquets npm malveillants postés entre le 11 mai et le 13 juin. Ces paquets imitaient habilement des modules légitimes, y compris des modules populaires comme jquery, qui comptent des millions de téléchargements hebdomadaires. Bien que les paquets malveillants aient été téléchargés environ 1 000 fois, ils ont été rapidement supprimés de npm une fois détectés.

ReversingLabs a baptisé cette campagne "Operation Brainleeches" en raison de l'infrastructure malveillante utilisée pour faciliter le vol des données des victimes. La campagne peut être divisée en deux parties. Dans la première partie, six paquets exclusivement utilisés dans des attaques de phishing ont été identifiés. Ces paquets étaient liés à des campagnes d'hameçonnage qui récoltaient des données d'utilisateurs par le biais de formulaires de connexion Microsoft.com trompeurs transmis par des pièces jointes malveillantes.

La deuxième partie comprenait sept paquets destinés à des campagnes d'hameçonnage par courrier électronique et à des attaques de la chaîne d'approvisionnement en logiciels. L'objectif de ces paquets était d'implanter des scripts de collecte d'informations d'identification dans des applications qui incorporaient à leur insu les paquets npm malveillants.

L'analyse de ReversingLabs a montré que les paquets npm malveillants jouaient un rôle dans les attaques de phishing en cours, probablement menées par des personnes moins qualifiées. Bien que la portée totale de l'attaque de la chaîne d'approvisionnement reste incertaine, l'utilisation de code obscurci et l'invocation de noms de paquets populaires tels que jquery soulèvent des inquiétudes quant à des compromissions potentielles.