Un chercheur en sécurité de Snyk publie des paquets NPM malveillants visant cursor.com

 (sourcecodered.com)
1 points par GN⁺ 2025-01-14 | Aucun commentaire pour le moment. | Partager sur WhatsApp

  • Publication de paquets NPM malveillants par un chercheur en sécurité de Snyk

    • Chaque matin, l’auteur vérifie les paquets malveillants détectés pendant la nuit précédente. Cela ressemble à un pêcheur qui examine les poissons pris dans son filet.
    • Récemment, un utilisateur de Snyk a été repéré en train de publier sur NPM plusieurs paquets visant Cursor.com.
    • Ces paquets portent des noms comme "cursor-retreival", "cursor-always-local" et "cursor-shadow-workspace".
    • Installer ces paquets permet de collecter des données système et de les envoyer vers un service web contrôlé par l’attaquant.

  • Fonctionnement des paquets

    • Les paquets récupèrent la sortie de la commande env, ce qui expose des informations sensibles comme des clés AWS, des tokens NPM et des identifiants GitHub.
    • Les données collectées sont envoyées vers un site web appartenant à l’attaquant.

  • Attaque visée

    • Ces paquets semblent tenter une attaque par confusion de dépendances contre une entreprise précise.
    • On ne sait pas si Cursor.com exploite un programme de bug bounty, mais on suppose que l’objectif était d’amener par erreur des employés de Cursor à installer ces paquets publics.

  • Identification des paquets malveillants

    • Le scanner d’analyse de paquets d’OpenSSF a identifié ces paquets comme malveillants.
    • OSV a créé trois avis de logiciel malveillant : MAL-2025-27, MAL-2025-28 et MAL-2025-29.

  • Auteur de la publication des paquets

    • D’après les métadonnées des paquets NPM, un utilisateur utilisant une adresse e-mail snyk.io de l’équipe Snyk Security Labs a publié ces paquets.
    • Un employé de Snyk est mentionné dans le champ auteur des métadonnées ; cela peut être falsifié, mais l’éditeur utilisait bien une adresse e-mail Snyk vérifiée.

  • Comment réagir

    • NPM a été alerté, mais les paquets n’étaient pas encore signalés comme malveillants, et la plupart des outils de sécurité de la supply chain logicielle ne peuvent pas protéger tant qu’ils ne savent pas qu’un paquet est malveillant.
    • Il est recommandé de ne pas installer des paquets NPM à l’aveugle, et de connaître les signaux permettant d’évaluer leur légitimité.
    • Tous les paquets ne contiennent que deux fichiers, package.json et index.js (ou main.js). C’est l’un des nombreux signaux pouvant aider à juger de la légitimité d’un paquet.
    • On s’attend à ce que NPM supprime prochainement ces paquets.

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.