Mercredi soir, la société de sécurité JFrog a publié un bulletin d’alerte concernant une attaque d’une taille a priori conséquente.
Elle vise les développeurs utilisant Azure de Microsoft, dans l’espoir de leur dérober des PII – « personally identifiable information », des informations personnelles identifiantes, dans l’espoir d’obtenir ensuite de précieux identifiants.
Selon les chercheurs Andrey Polkovnychenko and Shachar Menashe, les premiers dépôts de npm malveillants ont été détectés le 21 mars. Les pirates (non identifiés) visent les paquets npm ayant un préfixe @azure, @azure-rest, @azure-tests, @azure-tools ou @cadl-lang via une attaque par typosquattage par l’intermédiaire d’un script automatisé.
Pour JFrog, les chances que les développeurs puissent se faire avoir sont réelles, car les paquets npm visés sont téléchargés des dizaines de millions de fois chaque semaine.
La société de sécurité fournit dans son billet de blog une liste complète des paquets actuellement visés. Nous ne la reproduisons pas ici car il y en a plusieurs dizaines.
Le temps que cette attaque soit jugulée, il est donc recommandé aux développeurs de faire particulièrement attention à ce qu’ils téléchargent et d’en vérifier la provenance.
