Le typosquattage et les outils automatiques sont les armes de prédilection de cette campagne, qui vise à voler des données personnelles.

Une attaque « à grande échelle » vise les développeurs Microsoft Azure par le biais de paquets npm malveillants.

Mercredi, des chercheurs en cybersécurité de JFrog ont révélé que des centaines de paquets malveillants avaient été identifiés, créés pour voler des données personnelles aux développeurs.


De 50 à plus de 200 paquets malveillants en quelques jours

Selon les chercheurs Andrey Polkovnychenko et Shachar Menashe, les dépôts ont été détectés pour la première fois le 21 mars et sont passés d'environ 50 paquets npm malveillants à plus de 200 en quelques jours.

Les responsables des dépôts npm ont développé un script automatisé qui cible les modules @azure sur npm, ainsi que @azure-rest, @azure-tests, @azure-tools et @cadl-lang.

Le script est chargé de créer des comptes et d'uploader les données npm, qui comprennent des services de conteneurs, un robot de santé, des testeurs et des paquets de stockage.


Typosquattage

JFrog affirme que le typosquattage a été utilisé pour essayer de tromper les développeurs en les poussant à télécharger des fichiers malveillants.

Au moment de la rédaction de cet article, ces paquets contenaient un malware voleur d'informations.

Le typosquattage est une forme de phishing dans laquelle de petites modifications sont apportées à une adresse électronique, un fichier ou une adresse de site web pour imiter un service ou un contenu légitime.

Par exemple, un attaquant pourrait cibler les utilisateurs de "votre-compagnie.com" en enregistrant un nom de domaine avec "votre-c0mpagnie.com" .

En remplaçant cette simple lettre par un autre caractère visuellement similaire, l'attaquant espère que les victimes ne remarqueront pas que la ressource est frauduleuse.

Dans ce cas, les paquets malveillants sont créés avec le même nom qu'un paquet @azure scope existant, mais ils ont abandonné le scope.