1 nouveau package NPM sur 2 est un spam SEO

Apparu avec Node.js, NPM est un gestionnaire de packages qui fait fureur auprès des développeurs JavaScript.

À l’aide d’une seule commande “npm install”, ceux-ci peuvent télécharger des millions de scripts sans avoir à passer des heures à les configurer.

Une facilité qui attire aussi… des pirates informatiques !

Ainsi, dans son audit de sécurité du 30 mars 2023, Sandworm.dev a détecté 185 731 spams SEO sur 335 000 packages. Soit approximativement 50% de packages douteux.

L’épidémie est si grave que sandworm.dev précise dans son billet de blog « Juste au cours de la dernière heure à compter de la rédaction de cet article, 1583 nouveaux paquets de spams de livres électroniques ont été publiés ».

Concrètement, qu’est-ce qu’un package npm qualifié de spam SEO ? Rien de plus qu’un package vide ne contenant qu’un fichier readme.txt.

En l’ouvrant, vous serez assailli par plusieurs promesses douteuses ainsi que des liens vers des sites web.

SandWorm a détecté trois grands types de sites web malicieux :

• un canal Telegram destiné aux russophones ;
• les incontournables sites de distribution d’e-book et de vidéos gratuites ;
• des sites de distribution de cartes-cadeaux Fortnite.

Voyons-les tout de suite.

La chaîne russe Telegram

“Forget about financial problems forever: a new method of earning will allow you to earn millions without leaving your home!”

Plusieurs packages contiennent une description similaire, avec la même promesse.

Tous vont vous rediriger vers un canal Telegram de 7 000 membres écrit en langue russe. Sur celui-ci, vous trouverez (ô surprise) des techniques et astuces réservées au trading.

Et pour être certain d’atteindre le maximum de personne, ces packages ont tous des noms faisant échos à l’actualité : la guerre en Ukraine, les décisions d’investissement de Gazprom, etc.

Les Ebook et vidéos gratuits

Peut-on parler de phishing sans parler des sites qui vous promettent de vous distribuer gratuitement des e-books et des vidéos ?

Visiblement pas.

Si vous suivez un lien redirigeant vers ces derniers, vous serez assailli par des promesses d’e-book et de vidéo entièrement gratuits. La seule condition pour les avoir est de démontrer que vous êtes bel et bien un humain.

Et n’espérez pas avoir à remplir un simple captcha ou à lire une phrase. Non, ces cybercriminels vont vous demander de répondre à des sondages, de regarder des publicités et de commenter des vidéos.

Vous sentez la tentative d’hameçonnage ?

Au bout de ce long périple fait de clics énervés sur les publicités, vous n’obtiendrez absolument rien.

Regardez au moins le côté positif, vous auriez pu recevoir un lien contenant un malware…

Les V-bucks

Si vous êtes un aficionado des champs de bataille de Fortnite, alors vous connaissez certainement les V-bucks.

Il s’agit de cartes-cadeaux vous donnant accès à de la monnaie virtuelle dans les modes Battle Royale et Créatif. Des outils précieux pour les gamers donc.

Sans surprise, des cybercriminels se sont mis à les utiliser comme des outils d’hameçonnage.

Ainsi, certains packages npm vous redirigeront vers des sites de bienfaiteurs qui vous les offriront gratuitement.

Et tout comme pour les e-books, vous devrez prouver que vous êtes humain en répondant à des sondages et en interagissant avec des publicités.

Spoiler : vous n’aurez jamais votre carte-cadeau.

Quelles leçons en tirer pour les développeurs ?

La prudence.

Dans la majorité des cas, les packages sont seins. Hélas, certains d’entre eux peuvent être du pur spam SEO, ou carrément contenir des portes dérobées.

Par conséquent, avant de télécharger un package, toujours lire sa description et examiner son contenu.