S'inscrire

Cybersécurité - 15/07/2026

Des packages npm AsyncAPI compromis permettent la diffusion de logiciels malveillants de type botnet multi-étapes

Selon les conclusions d’ OX Security , SafeDep , Socket et StepSecurity , quatre packages npm compromis dans l’espace de noms @asyncapi distribuent un chargeur de botnet à plusieurs étapes.

Les paquets concernés sont listés ci-dessous –

  • @asyncapi/generator-helpers@1.1.1
  • @asyncapi/generator-components@0.7.1
  • @asyncapi/generator@3.3.1
  • @asyncapi/specs(v6.11.2, v6.11.2-alpha.1)

« Les paquets compromis déploient une charge utile de première étape obscurcie qui télécharge une charge utile de deuxième étape cryptée, identifiée comme Miasma, depuis IPFS », a déclaré Socket.

Les paquets infectés contiennent un implant JavaScript caché, chacun renfermant un fichier source injecté qui se décode en un même programme de téléchargement de seconde étape. Contrairement aux versions précédentes qui exploitaient les points d’installation pour déclencher l’exécution d’une charge utile JavaScript, le code malveillant est ici exécuté lorsque le module infecté est chargé par Node.js. Ce dernier lance ensuite un nœud d’arrière-plan détaché qui télécharge et exécute le logiciel malveillant depuis IPFS.

La charge utile suivante est un chargeur JavaScript chiffré nommé « sync.js », qui est écrit dans des répertoires spécifiques au système d’exploitation puis exécuté. L’URL du téléchargeur est « ipfs[.]io/ipfs/QmQobZSp1wRPrpSEQ56qnyq7ecZh5Bg5k1fnjt4SUwwHb9 ». Le chargeur contient deux composants :

  • La charge utile JavaScript finale chiffrée, qui se décode selon le framework de tâches Miasma
  • Un gros blob chiffré utilisé par le framework de chaîne de génération du runtime

Le framework regroupe 744 modules et est construit comme un framework de commande qui prend en charge six canaux de communication de commande et de contrôle (C2) indépendants utilisant HTTP, le relais Nostr, IPFS, BitTorrent DHT, le maillage P2P libp2p GossipSub et un contrat intelligent Ethereum.

/>

Outre le fait de faciliter le vol d’identifiants, l’empoisonnement d’outils d’IA, les déplacements latéraux sur le réseau local et la propagation de type ver sur les registres npm, PyPI et Cargo, Miasma dispose de son propre mécanisme de persistance, configurant des clés de démarrage automatique systemd, crontab, launchd macOS et du registre Windows.

« Bien que ce logiciel malveillant présente certaines similitudes avec les campagnes Shai-Hulud et Miasma , et qu’il contienne la chaîne Miasma à plusieurs reprises dans son code, il n’est pas identique à ces derniers et n’est pas non plus attribué aux campagnes Miasma/Shai-Hulud/TeamPCP que nous avons observées par le passé », a déclaré Moshe Siman Tov Bustan d’OX Security.

De plus, il intègre un interrupteur de sécurité qui surveille un jeton volé et déclenche une suppression du répertoire si le jeton est révoqué, tout en évitant les systèmes identifiés comme des environnements sandbox ou virtuels, ainsi que ceux dont la langue actuelle est le russe ou qui ont des outils de sécurité de CrowdStrike, SentinelOne, Microsoft Defender, CarbonBlack, Cylance, Osquery, Tanium et Qualys installés.

« Son mode de fonctionnement le plus évident est une architecture C2 basée sur REST : l’implant envoie des balises à un point de terminaison HTTP, accepte les tâches chiffrées et renvoie les résultats des commandes à la même infrastructure. Autour de ce noyau, la charge utile prend également en charge le transport des chargements, le chiffrement des commandes, la signature des nœuds, les mises à jour de la charge utile, la gestion des fichiers, l’exécution de commandes shell et l’écriture persistante. »

D’après StepSecurity, l’attaquant aurait obtenu un accès en écriture aux dépôts et utilisé le système de publication GitHub Actions légitime du projet pour publier des paquets avec des attestations de provenance OIDC valides. Cette attaque de la chaîne d’approvisionnement n’a pas impliqué le vol d’un jeton npm.

« Ces deux attaques sont des compromissions de pipelines CI/CD, et non des vols de jetons npm ou des actes malveillants de la part de mainteneurs », a déclaré Rohan Prabhu, chercheur en sécurité. « L’attaquant a effectué des commits sous une identité Git factice et a laissé le véritable processus de publication de chaque dépôt se charger de la publication via l’intégration de npm avec GitHub OIDC (outil de publication de confiance). »

« Les paquets résultants comportent des attestations de provenance SLSA légitimes, prouvant uniquement que le flux de travail autorisé du projet les a produits, et non que les commits déclencheurs étaient légitimes. La provenance ne protège pas contre une authentification de push compromise. »

Les cinq versions malveillantes ont depuis été retirées du registre npm. Il est conseillé de considérer comme potentiellement compromise toute plateforme ayant importé ou exécuté l’une de ces versions. Toutefois, il convient de noter que le risque d’exposition dépend du contexte d’utilisation du module infecté : lors d’une compilation ou dans le cadre d’un processus de développement.

« Aucun script de préinstallation, de post-installation ou d’installation n’est présent dans les trois fichiers package.json », a déclaré StepSecurity. « Ce programme d’installation malveillante se déclenche lorsque le module infecté est appelé par la fonction `require()` lors de l’utilisation normale du générateur : au moment où une tâche de compilation ou d’intégration continue fait appel à la bibliothèque, et non lors de l’installation via npm. »

Sujets récents

CERT-FR CERTFR-2026-ALE-006 ALERTE Multiples vulnérabilités dans Secure Mobile Access (15 juillet 2026) 15/07/2026 NVD CVE-1999-0095 HIGH 10 The debug command in Sendmail is enabled, allowing attackers to… 01/10/1988 CISA KEV CVE-2026-46817 EXPLOITÉE Oracle E-Business Suite Improper Privilege Management Vulnerability 15/07/2026 CERT-FR CERTFR-2026-ALE-005 ALERTE [Màj] Vulnérabilité dans Microsoft Exchange Server (15 mai 2026) 15/05/2026 NVD CVE-1999-0082 HIGH 10 CWD ~root command in ftpd allows root access. 11/11/1988 CISA KEV CVE-2023-4346 EXPLOITÉE KNX Association KNX Protocol Connection Authorization Option 1 Overly Restrictive… 15/07/2026 CERT-FR CERTFR-2026-ALE-004 ALERTE Vulnérabilité dans F5 BIG-IP Access Policy Manager (31 mars 2026) 31/03/2026 NVD CVE-1999-1471 HIGH 7.2 Buffer overflow in passwd in BSD based operating systems 4.3… 01/01/1989 CISA KEV CVE-2026-56155 EXPLOITÉE Microsoft Active Directory Federation Services Insufficient Granularity of Access Control… 14/07/2026 CERT-FR CERTFR-2026-ALE-003 ALERTE Note d’alerte – Ciblage des messageries instantanées (20 mars 2026) 20/03/2026 NVD CVE-1999-1122 MEDIUM 4.6 Vulnerability in restore in SunOS 4.0.3 and earlier allows local… 26/07/1989 CISA KEV CVE-2026-56164 EXPLOITÉE Microsoft SharePoint Server Missing Authentication for Critical Function Vulnerability 14/07/2026 CERT-FR CERTFR-2026-ALE-002 ALERTE [MàJ] Vulnérabilité dans Cisco Catalyst SD-WAN (25 février 2026) 25/02/2026 NVD CVE-1999-1467 HIGH 10 Vulnerability in rcp on SunOS 4.0.x allows remote attackers from… 26/10/1989 CISA KEV CVE-2026-15409 EXPLOITÉE SonicWall SMA1000 Appliances Server-Side Request Forgery Vulnerability 14/07/2026 CERT-FR CERTFR-2026-ALE-001 ALERTE [MàJ] Multiples vulnérabilités dans Ivanti Endpoint Manager Mobile (30 janvier… 30/01/2026 NVD CVE-1999-1506 HIGH 7.5 Vulnerability in SMI Sendmail 4.0 and earlier, on SunOS up… 29/01/1990 CISA KEV CVE-2026-15410 EXPLOITÉE SonicWall SMA1000 Appliances Code Injection Vulnerability 14/07/2026 CERT-FR CERTFR-2025-ALE-014 ALERTE [MàJ] Vulnérabilité dans React Server Components (05 décembre 2025) 05/12/2025 NVD CVE-1999-0084 HIGH 8.4 Certain NFS servers allow users to use mknod to gain… 01/05/1990 CISA KEV CVE-2008-4128 EXPLOITÉE Cisco IOS Cross-Site Request Forgery Vulnerability 13/07/2026 CERT-FR CERTFR-2026-ALE-006 ALERTE Multiples vulnérabilités dans Secure Mobile Access (15 juillet 2026) 15/07/2026 NVD CVE-1999-0095 HIGH 10 The debug command in Sendmail is enabled, allowing attackers to… 01/10/1988 CISA KEV CVE-2026-46817 EXPLOITÉE Oracle E-Business Suite Improper Privilege Management Vulnerability 15/07/2026 CERT-FR CERTFR-2026-ALE-005 ALERTE [Màj] Vulnérabilité dans Microsoft Exchange Server (15 mai 2026) 15/05/2026 NVD CVE-1999-0082 HIGH 10 CWD ~root command in ftpd allows root access. 11/11/1988 CISA KEV CVE-2023-4346 EXPLOITÉE KNX Association KNX Protocol Connection Authorization Option 1 Overly Restrictive… 15/07/2026 CERT-FR CERTFR-2026-ALE-004 ALERTE Vulnérabilité dans F5 BIG-IP Access Policy Manager (31 mars 2026) 31/03/2026 NVD CVE-1999-1471 HIGH 7.2 Buffer overflow in passwd in BSD based operating systems 4.3… 01/01/1989 CISA KEV CVE-2026-56155 EXPLOITÉE Microsoft Active Directory Federation Services Insufficient Granularity of Access Control… 14/07/2026 CERT-FR CERTFR-2026-ALE-003 ALERTE Note d’alerte – Ciblage des messageries instantanées (20 mars 2026) 20/03/2026 NVD CVE-1999-1122 MEDIUM 4.6 Vulnerability in restore in SunOS 4.0.3 and earlier allows local… 26/07/1989 CISA KEV CVE-2026-56164 EXPLOITÉE Microsoft SharePoint Server Missing Authentication for Critical Function Vulnerability 14/07/2026 CERT-FR CERTFR-2026-ALE-002 ALERTE [MàJ] Vulnérabilité dans Cisco Catalyst SD-WAN (25 février 2026) 25/02/2026 NVD CVE-1999-1467 HIGH 10 Vulnerability in rcp on SunOS 4.0.x allows remote attackers from… 26/10/1989 CISA KEV CVE-2026-15409 EXPLOITÉE SonicWall SMA1000 Appliances Server-Side Request Forgery Vulnerability 14/07/2026 CERT-FR CERTFR-2026-ALE-001 ALERTE [MàJ] Multiples vulnérabilités dans Ivanti Endpoint Manager Mobile (30 janvier… 30/01/2026 NVD CVE-1999-1506 HIGH 7.5 Vulnerability in SMI Sendmail 4.0 and earlier, on SunOS up… 29/01/1990 CISA KEV CVE-2026-15410 EXPLOITÉE SonicWall SMA1000 Appliances Code Injection Vulnerability 14/07/2026 CERT-FR CERTFR-2025-ALE-014 ALERTE [MàJ] Vulnérabilité dans React Server Components (05 décembre 2025) 05/12/2025 NVD CVE-1999-0084 HIGH 8.4 Certain NFS servers allow users to use mknod to gain… 01/05/1990 CISA KEV CVE-2008-4128 EXPLOITÉE Cisco IOS Cross-Site Request Forgery Vulnerability 13/07/2026