Coa, une bibliothèque populaire trouvée sur npm, un gestionnaire du langage de programmation JavaScript, a été détournée et utilisée pour diffuser du code malveillant, selon des rapports.
Selon Ordinateur qui bipe, l’attaque contre coa – abréviation de Command-Option-Argument, a eu un impact sur d’innombrables pipelines React dans le monde. React est une bibliothèque JavaScript pour créer des interfaces utilisateur. Coa reçoit environ 9 millions de téléchargements par semaine sur npm et est utilisé par quelque 5 millions de référentiels GitHub open source.
Peu de temps après avoir découvert le détournement, les développeurs ont également repéré un autre composant populaire – rc – également affecté. La bibliothèque rc est encore plus populaire que coa, avec quelque 14 millions de téléchargements par semaine.
L’une des choses qui a suscité des soupçons parmi les développeurs était le fait que la dernière version stable de coa – 2.0.2 – était sortie en décembre 2018. Puis, tout à coup, cinq versions ont commencé à apparaître sur npm, le tout en quelques heures, « casser les packages React qui dépendent de coa ».
Sommaire
Attaques multiples
« Je ne sais pas pourquoi ni ce qui s’est passé, mais il y a 10 minutes, il y a eu une sortie (même si le dernier changement sur GitHub date de 2018). Quoi qu’ait fait cette sortie, elle a cassé Internet », a déclaré Roberto Wesley Overdijk, un développeur de React. .
Le mois dernier, une bibliothèque npm populaire ua-parser-js, utilisée par bon nombre des plus grands sites Web et entreprises technologiques du monde, a également été détournée, et avec le code malveillant intégré dans les deux cas étant pratiquement identique, cela a conduit Bleeping Computer à conclure que le L’acteur malveillant derrière ces incidents est probablement le même.
Les analystes de la publication affirment que le malware est probablement Danabot, un cheval de Troie voleur de mots de passe pour Windows. Il est capable de voler les mots de passe de tous les navigateurs de sites Web populaires, des clients FTP et de diverses applications, ainsi que des cartes de crédit stockées. Il peut prendre des captures d’écran des écrans actifs et enregistrer les frappes au clavier.
Les versions malveillantes ont depuis été supprimées, mais tous les utilisateurs des bibliothèques coa et rc sont invités à vérifier leurs projets pour les logiciels malveillants.
