![\"Audit](\"https:\/\/poyesis.fr\/blogs\/wp-content\/uploads\/2023\/04\/npm1.jpg\")
L\u2019\u00e9pid\u00e9mie est si grave que sandworm.dev pr\u00e9cise dans son billet de blog \u00ab Juste au cours de la derni\u00e8re heure \u00e0 compter de la r\u00e9daction de cet article, 1583 nouveaux paquets de spams de livres \u00e9lectroniques ont \u00e9t\u00e9 publi\u00e9s\u00a0\u00bb.<\/p>\n
Concr\u00e8tement, qu\u2019est-ce qu\u2019un package npm qualifi\u00e9 de spam SEO ? Rien de plus qu\u2019un package vide ne contenant qu\u2019un fichier readme.txt.<\/p>\n
En l\u2019ouvrant, vous serez assailli par plusieurs promesses douteuses ainsi que des liens vers des sites web.<\/p>\n
SandWorm a d\u00e9tect\u00e9 trois grands types de sites web malicieux\u00a0:<\/p>\n
- \n
- un canal Telegram destin\u00e9 aux russophones\u00a0;<\/li>\n
- les incontournables sites de distribution d\u2019e-book et de vid\u00e9os gratuites\u00a0;<\/li>\n
- des sites de distribution de cartes-cadeaux Fortnite.<\/li>\n<\/ul>\n
Voyons-les tout de suite.<\/p>\n
La cha\u00eene russe Telegram<\/h2>\n
\u201cForget about financial problems forever: a new method of earning will allow you to earn millions without leaving your home!\u201d<\/i><\/p>\n
Plusieurs packages contiennent une description similaire, avec la m\u00eame promesse.<\/p>\n
Tous vont vous rediriger vers un canal Telegram de 7 000 membres \u00e9crit en langue russe. Sur celui-ci, vous trouverez (\u00f4 surprise) des techniques et astuces r\u00e9serv\u00e9es au trading.<\/p>\n
Et pour \u00eatre certain d\u2019atteindre le maximum de personne, ces packages ont tous des noms faisant \u00e9chos \u00e0 l\u2019actualit\u00e9\u00a0: la guerre en Ukraine, les d\u00e9cisions d\u2019investissement de Gazprom, etc.<\/p>\n
Les Ebook et vid\u00e9os gratuits<\/h2>\n
Peut-on parler de phishing sans parler des sites qui vous promettent de vous distribuer gratuitement des e-books et des vid\u00e9os\u00a0?<\/p>\n
Visiblement pas.<\/p>\n
Si vous suivez un lien redirigeant vers ces derniers, vous serez assailli par des promesses d\u2019e-book et de vid\u00e9o enti\u00e8rement gratuits. La seule condition pour les avoir est de d\u00e9montrer que vous \u00eates bel et bien un humain.<\/p>\n
Et n\u2019esp\u00e9rez pas avoir \u00e0 remplir un simple captcha ou \u00e0 lire une phrase. Non, ces cybercriminels vont vous demander de r\u00e9pondre \u00e0 des sondages, de regarder des publicit\u00e9s et de commenter des vid\u00e9os.<\/p>\n
Vous sentez la tentative d’hame\u00e7onnage\u00a0?<\/p>\n
Au bout de ce long p\u00e9riple fait de clics \u00e9nerv\u00e9s sur les publicit\u00e9s, vous n\u2019obtiendrez absolument rien.<\/p>\n
Regardez au moins le c\u00f4t\u00e9 positif, vous auriez pu recevoir un lien contenant un malware\u2026<\/p>\n
Les V-bucks<\/h2>\n
Si vous \u00eates un aficionado des champs de bataille de Fortnite, alors vous connaissez certainement les V-bucks.<\/p>\n
Il s\u2019agit de cartes-cadeaux vous donnant acc\u00e8s \u00e0 de la monnaie virtuelle dans les modes Battle Royale et Cr\u00e9atif. Des outils pr\u00e9cieux pour les gamers donc.<\/p>\n
Sans surprise, des cybercriminels se sont mis \u00e0 les utiliser comme des outils d\u2019hame\u00e7onnage.<\/p>\n
Ainsi, certains packages npm vous redirigeront vers des sites de bienfaiteurs qui vous les offriront gratuitement.<\/p>\n
Et tout comme pour les e-books, vous devrez prouver que vous \u00eates humain en r\u00e9pondant \u00e0 des sondages et en interagissant avec des publicit\u00e9s.<\/p>\n
Spoiler\u00a0: vous n\u2019aurez jamais votre carte-cadeau.<\/p>\n
Quelles le\u00e7ons en tirer pour les d\u00e9veloppeurs\u00a0?<\/h2>\n
La prudence.<\/p>\n
Dans la majorit\u00e9 des cas, les packages sont seins. H\u00e9las, certains d\u2019entre eux peuvent \u00eatre du pur spam SEO, ou carr\u00e9ment contenir des portes d\u00e9rob\u00e9es.<\/p>\n
Par cons\u00e9quent, avant de t\u00e9l\u00e9charger un package, toujours lire sa description et examiner son contenu.<\/p>\n","protected":false},"excerpt":{"rendered":"
Apparu avec Node.js, NPM est un gestionnaire de packages qui fait fureur aupr\u00e8s des d\u00e9veloppeurs JavaScript. \u00c0 l\u2019aide d\u2019une seule commande \u201cnpm install\u201d, ceux-ci peuvent t\u00e9l\u00e9charger des millions de scripts sans avoir \u00e0 passer des heures \u00e0 les configurer. Une facilit\u00e9 qui attire aussi\u2026 des pirates informatiques\u00a0! Ainsi, dans son audit de s\u00e9curit\u00e9 du 30 […]<\/p>\n","protected":false},"author":3,"featured_media":430,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jnews-multi-image_gallery":[],"jnews_single_post":{"format":"standard","override":[{"template":"7","single_blog_custom":"553","parallax":"1","fullscreen":"1","layout":"no-sidebar-narrow","sidebar":"default-sidebar","second_sidebar":"default-sidebar","sticky_sidebar":"1","share_position":"floatbottom","share_float_style":"share-normal","show_share_counter":"1","show_view_counter":"1","show_featured":"1","show_post_meta":"1","show_post_author":"1","show_post_author_image":"1","show_post_date":"1","post_date_format":"default","post_date_format_custom":"Y\/m\/d","show_post_category":"1","post_reading_time_wpm":"300","post_calculate_word_method":"str_word_count","show_zoom_button":"0","zoom_button_out_step":"2","zoom_button_in_step":"3","number_popup_post":"1","show_post_related":"1"}],"image_override":[{"single_post_thumbnail_size":"crop-500","single_post_gallery_size":"crop-500"}],"trending_post_position":"meta","trending_post_label":"Trending","sponsored_post_label":"Sponsored by","disable_ad":"0"},"jnews_primary_category":[],"jnews_override_bookmark_settings":{"override_bookmark_button":"0","override_show_bookmark_button":"0"},"jnews_override_counter":{"view_counter_number":"0","share_counter_number":"0","like_counter_number":"0","dislike_counter_number":"0"},"footnotes":""},"categories":[113],"tags":[118,119,120,121,122],"class_list":["post-432","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualite","tag-cybersecurite","tag-node-package-manager","tag-npm","tag-spam-seo","tag-vulnerabilite"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/poyesis.fr\/blogs\/wp-json\/wp\/v2\/posts\/432","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/poyesis.fr\/blogs\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/poyesis.fr\/blogs\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/poyesis.fr\/blogs\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/poyesis.fr\/blogs\/wp-json\/wp\/v2\/comments?post=432"}],"version-history":[{"count":0,"href":"https:\/\/poyesis.fr\/blogs\/wp-json\/wp\/v2\/posts\/432\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/poyesis.fr\/blogs\/wp-json\/wp\/v2\/media\/430"}],"wp:attachment":[{"href":"https:\/\/poyesis.fr\/blogs\/wp-json\/wp\/v2\/media?parent=432"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/poyesis.fr\/blogs\/wp-json\/wp\/v2\/categories?post=432"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/poyesis.fr\/blogs\/wp-json\/wp\/v2\/tags?post=432"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}