{"id":501131,"date":"2025-10-31T00:43:21","date_gmt":"2025-10-31T00:43:21","guid":{"rendered":"https:\/\/www.europesays.com\/fr\/501131\/"},"modified":"2025-10-31T00:43:21","modified_gmt":"2025-10-31T00:43:21","slug":"comment-ces-10-paquets-malveillants-ont-silencieusement-infiltre-des-milliers-de-projets-informatiques","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/fr\/501131\/","title":{"rendered":"Comment ces 10 paquets malveillants ont silencieusement infiltr\u00e9 des milliers de projets informatiques"},"content":{"rendered":"

Dans une \u00e9tude publi\u00e9e le 28 octobre 2025, les chercheurs de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Socket alertent sur la pr\u00e9sence de 10 paquets malveillants cach\u00e9s dans la biblioth\u00e8que en ligne npm. La plateforme est utilis\u00e9e par des millions de d\u00e9veloppeurs \u00e0 travers le monde pour b\u00e2tir des logiciels informatiques.<\/p>\n

Le subterfuge aurait fonctionn\u00e9 au moins 10 000 fois.<\/p>\n

Selon les chercheurs de Socket, qui ont publi\u00e9 une alerte le 28\u00a0octobre 2025<\/a>, 10 paquets malveillants imitant, \u00e0 quelques caract\u00e8res pr\u00e8s, des logiciels l\u00e9gitimes de la biblioth\u00e8que npm auraient \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s plus de 10 000 fois par des d\u00e9veloppeurs inattentifs.<\/p>\n

Ces paquets pi\u00e9g\u00e9s renferment un infostealer, autrement dit un logiciel de vol d\u2019informations capable de collecter des donn\u00e9es sensibles sur Windows, Linux et macOS.<\/p>\n

Mis en ligne le 4 juillet 2025 sur npm<\/a>, la biblioth\u00e8que de r\u00e9f\u00e9rence pour JavaScript, ils sont rest\u00e9s ind\u00e9tect\u00e9s jusqu\u2019alors gr\u00e2ce \u00e0 plusieurs couches de camouflage.<\/p>\n

\"Faux<\/a>Faux CAPTCHA servant au camouflage de l\u2019attaque. \/\/ Source : Socket<\/p>\n

Ing\u00e9nierie sociale pour faire baisser la garde<\/p>\n

Parmi ces techniques de camouflage, une partie du code contenant le lien de t\u00e9l\u00e9chargement malveillant \u00e9tait chiffr\u00e9e, rendant toute analyse manuelle particuli\u00e8rement longue et complexe.<\/p>\n

\"Bitdefender <\/p>\n

\n Votre vie priv\u00e9e doit rester priv\u00e9e. <\/p>\n

\n Face aux cyberattaques, d\u00e9jouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiqu\u00e9es, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles. <\/p>\n

Mais l\u2019assaillant a surtout mis\u00e9 sur l\u2019ing\u00e9nierie sociale<\/a> pour passer inaper\u00e7u et infiltrer la plateforme pendant de longs mois. Le proc\u00e9d\u00e9 est simple : reprendre tous les codes d\u2019un t\u00e9l\u00e9chargement s\u00e9curis\u00e9 est l\u00e9gitime.<\/p>\n

Ainsi, lors de l\u2019installation, le logiciel malveillant affiche un faux CAPTCHA compl\u00e8tement factice, destin\u00e9 \u00e0 rassurer les d\u00e9veloppeurs et leur laisser croire que le package provient d\u2019une source reconnue.<\/p>\n

\u00c0 l\u2019instant o\u00f9 l\u2019utilisateur saisit du texte dans le CAPTCHA, l\u2019installation de l\u2019infostealer est d\u00e9clench\u00e9e. Le logiciel malveillant affiche ensuite un message, donnant l\u2019illusion que des d\u00e9pendances l\u00e9gitimes sont en cours d\u2019installation.<\/p>\n

Un pi\u00e8ge tr\u00e8s bien huil\u00e9<\/p>\n

Avant de t\u00e9l\u00e9charger la charge utile principale, le logiciel malveillant envoie l\u2019adresse IP de la victime au serveur de l\u2019attaquant, une mani\u00e8re de pouvoir le tracer et de confirmer que la victime correspond au profil cible vis\u00e9 par l\u2019auteur de la menace.<\/p>\n

Une fois cette \u00e9tape effectu\u00e9e, le logiciel malveillant t\u00e9l\u00e9charge et ex\u00e9cute imm\u00e9diatement l\u2019extracteur de donn\u00e9es. Une op\u00e9ration automatique qui ne n\u00e9cessite aucune intervention de l\u2019utilisateur.<\/p>\n

Le logiciel malveillant a pr\u00e9alablement d\u00e9tect\u00e9 le syst\u00e8me d\u2019exploitation de la victime. Une information qui lui permet de t\u00e9l\u00e9charger la variante appropri\u00e9e depuis le serveur de l\u2019attaquant. L\u2019ensemble du processus de t\u00e9l\u00e9chargement et d\u2019ex\u00e9cution s\u2019ach\u00e8ve en quelques secondes.<\/p>\n

Cette approche garantit au pirate de disposer d\u2019un outil de vol d\u2019informations parfaitement fonctionnel et adapt\u00e9, quel que soit le syst\u00e8me d\u2019exploitation de sa victime. Efficace.<\/p>\n

Des donn\u00e9es particuli\u00e8rement sensibles d\u00e9rob\u00e9es<\/p>\n

Dans cette campagne particuli\u00e8rement sournoise, plusieurs types d\u2019informations ont \u00e9t\u00e9 d\u00e9rob\u00e9s, parmi lesquels des trousseaux de cl\u00e9s syst\u00e8me comme\u00a0Windows Credential Manager,\u00a0macOS Keychain, ou\u00a0Linux SecretService. Des donn\u00e9es stock\u00e9es dans des navigateurs Chromium\u00a0et\u00a0Firefox\u00a0ont \u00e9galement \u00e9t\u00e9 exfiltr\u00e9es, y compris les mots de passe<\/a> et les cookies de session.<\/p>\n

L\u2019assaillant s\u2019est aussi int\u00e9ress\u00e9 aussi aux cl\u00e9s\u00a0SSH, aux jetons d\u2019authentification, et aux jetons\u00a0API. Toutes ces informations vol\u00e9es ont \u00e9t\u00e9 empaquet\u00e9es dans des archives compress\u00e9es et transf\u00e9r\u00e9es vers le serveur de l\u2019attaquant.<\/p>\n

Il est conseill\u00e9 \u00e0 chaque d\u00e9veloppeur de v\u00e9rifier les paquets r\u00e9cemment t\u00e9l\u00e9charg\u00e9s sur la plateforme\u00a0npm. <\/p>\n

Plusieurs victimes peuvent ne pas \u00eatre conscientes de cette compromission, d\u2019autant plus que, pour attirer les utilisateurs, l\u2019acteur malveillant a utilis\u00e9 le\u00a0typosquatting, une tactique qui exploite les fautes d\u2019orthographe ou les variations de noms l\u00e9gitimes pour pi\u00e9ger les utilisateurs distraits.<\/p>\n

Voici la liste des paquets malveillants concern\u00e9s par cette supply-chain attack :<\/p>\n

    \n
  1. typescriptjs<\/li>\n
  2. deezcord.js<\/li>\n
  3. dizcordjs<\/li>\n
  4. dezcord.js<\/li>\n
  5. etherdjs<\/li>\n
  6. ethesjs<\/li>\n
  7. ethetsjs<\/li>\n
  8. nodemonjs<\/li>\n
  9. react-router-dom.js<\/li>\n
  10. zustand.js<\/li>\n<\/ol>\n

    \"Toute<\/p>\n

    Toute l’actu tech en un clin d’\u0153il<\/p>\n

    Ajoutez Numerama \u00e0 votre \u00e9cran d’accueil et restez connect\u00e9s au futur !<\/p>\n

    \"Logo<\/p>\n

    Installer Numerama<\/p>\n","protected":false},"excerpt":{"rendered":"Dans une \u00e9tude publi\u00e9e le 28 octobre 2025, les chercheurs de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Socket alertent sur…\n","protected":false},"author":2,"featured_media":501132,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[1075,1011,27,62311,43,40,41,39,62312,42,44],"class_list":{"0":"post-501131","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-sciences-et-technologies","8":"tag-cybersecurite","9":"tag-fr","10":"tag-france","11":"tag-npm","12":"tag-science","13":"tag-science-and-technology","14":"tag-sciences","15":"tag-sciences-et-technologies","16":"tag-supply-chain-attack","17":"tag-technologies","18":"tag-technology"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@fr\/115466012132789332","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/posts\/501131","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/comments?post=501131"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/posts\/501131\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/media\/501132"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/media?parent=501131"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/categories?post=501131"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/fr\/wp-json\/wp\/v2\/tags?post=501131"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}