Par Walid Ghanem, le April 19, 2023
ActualitéApparu avec Node.js, NPM est un gestionnaire de packages qui fait fureur auprès des développeurs JavaScript.
À l’aide d’une seule commande “npm install”, ceux-ci peuvent télécharger des millions de scripts sans avoir à passer des heures à les configurer.
Une facilité qui attire aussi… des pirates informatiques !
Ainsi, dans son audit de sécurité du 30 mars 2023, Sandworm.dev a détecté 185 731 spams SEO sur 335 000 packages. Soit approximativement 50% de packages douteux.
L’épidémie est si grave que sandworm.dev précise dans son billet de blog « Juste au cours de la dernière heure à compter de la rédaction de cet article, 1583 nouveaux paquets de spams de livres électroniques ont été publiés ».
Concrètement, qu’est-ce qu’un package npm qualifié de spam SEO ? Rien de plus qu’un package vide ne contenant qu’un fichier readme.txt.
En l’ouvrant, vous serez assailli par plusieurs promesses douteuses ainsi que des liens vers des sites web.
SandWorm a détecté trois grands types de sites web malicieux :
Voyons-les tout de suite.
“Forget about financial problems forever: a new method of earning will allow you to earn millions without leaving your home!”
Plusieurs packages contiennent une description similaire, avec la même promesse.
Tous vont vous rediriger vers un canal Telegram de 7 000 membres écrit en langue russe. Sur celui-ci, vous trouverez (ô surprise) des techniques et astuces réservées au trading.
Et pour être certain d’atteindre le maximum de personne, ces packages ont tous des noms faisant échos à l’actualité : la guerre en Ukraine, les décisions d’investissement de Gazprom, etc.
Peut-on parler de phishing sans parler des sites qui vous promettent de vous distribuer gratuitement des e-books et des vidéos ?
Visiblement pas.
Si vous suivez un lien redirigeant vers ces derniers, vous serez assailli par des promesses d’e-book et de vidéo entièrement gratuits. La seule condition pour les avoir est de démontrer que vous êtes bel et bien un humain.
Et n’espérez pas avoir à remplir un simple captcha ou à lire une phrase. Non, ces cybercriminels vont vous demander de répondre à des sondages, de regarder des publicités et de commenter des vidéos.
Vous sentez la tentative d’hameçonnage ?
Au bout de ce long périple fait de clics énervés sur les publicités, vous n’obtiendrez absolument rien.
Regardez au moins le côté positif, vous auriez pu recevoir un lien contenant un malware…
Si vous êtes un aficionado des champs de bataille de Fortnite, alors vous connaissez certainement les V-bucks.
Il s’agit de cartes-cadeaux vous donnant accès à de la monnaie virtuelle dans les modes Battle Royale et Créatif. Des outils précieux pour les gamers donc.
Sans surprise, des cybercriminels se sont mis à les utiliser comme des outils d’hameçonnage.
Ainsi, certains packages npm vous redirigeront vers des sites de bienfaiteurs qui vous les offriront gratuitement.
Et tout comme pour les e-books, vous devrez prouver que vous êtes humain en répondant à des sondages et en interagissant avec des publicités.
Spoiler : vous n’aurez jamais votre carte-cadeau.
La prudence.
Dans la majorité des cas, les packages sont seins. Hélas, certains d’entre eux peuvent être du pur spam SEO, ou carrément contenir des portes dérobées.
Par conséquent, avant de télécharger un package, toujours lire sa description et examiner son contenu.
Business
Est-ce que vous voulez dépasser les limites de votre application mobile ou site web actuel ? Partager facilement vos contenus sur tous vos différents canaux d’acquisition ? Ou alors vous voulez vous démarquer de vos concurrents en créant une plateforme d’expérience numérique – ou DXP pour les intimes – qui éblouira vos clients ? Si vous avez répondu …
19 septembre 2023
Business
Les émissions de CO2. Quand on pense à ce gaz à effet de serre, on pense immédiatement aux mines de charbons, aux pots d’échappement des voitures ou aux cheminées des usines. Et pourtant, une autre source de pollution est très souvent oubliée par les défenseurs de la protection de l’environnement. Spoiler, vous l’avez entre les …
14 juillet 2023
Business
2020. Si pour beaucoup, 2020 rime avec le Covid-19, l’inflation et le « quoi qu’il en coûte », pour les experts français de la cybersécurité, elle rime avec scandale. En cause, la BPI France et la fintech française Doctolib ont toutes deux commis la même erreur : héberger les données de leurs clients français – dont peut-être les …
12 juillet 2023