Nous avons un exemple plus r\u00e9cent. Le 26 juillet 2022, nos chercheurs ont d\u00e9couvert une nouvelle menace<\/a> dans le r\u00e9f\u00e9rentiel open-source npm et l\u2019ont surnomm\u00e9 LofyLife.<\/p>\n En utilisant un syst\u00e8me interne automatique de surveillance des r\u00e9f\u00e9rentiels open-source, nos chercheurs ont identifi\u00e9 la campagne malveillante LofyLife. Cette campagne a exploit\u00e9 quatre packages malveillants pour distribuer les programmes malveillants Volt Stealer et Lofy Stealer dans le r\u00e9f\u00e9rentiel npm. L\u2019objectif \u00e9tait de recueillir diverses informations sur les victimes, dont leurs jetons Discord et les informations bancaires associ\u00e9es au compte, et de les espionner.<\/p>\n Les packages malveillant identifi\u00e9s \u00e9taient utilis\u00e9s pour des t\u00e2ches ordinaires, comme le formatage des titres ou certaines fonctionnalit\u00e9s de jeux. Les descriptions des packages \u00e9taient incompl\u00e8tes et les cybercriminels ne semblaient pas y avoir consacr\u00e9 beaucoup de temps. Le package de \u00a0\u00bb\u00a0formatage des titres\u00a0\u00a0\u00bb \u00e9tait en br\u00e9silien, avec le hashtag #brazil, ce qui laisse croire que les escrocs voulaient s\u2019en prendre aux utilisateurs qui se trouvent au Br\u00e9sil. D\u2019autres packages \u00e9taient d\u00e9crits en anglais, afin de pouvoir s\u2019en prendre aux utilisateurs de n\u2019importe quel pays.<\/p>\n Description d\u2019un des packages infect\u00e9s \u00ab\u00a0proc-title\u00a0\u00bb (Traduction du portugais: ce package \u00e9crit correctement vos titres en majuscule selon les instructions du Chicago Manual of Style)<\/p><\/div>\n \u00a0<\/p>\n Pourtant, ces packages contiennent des codes malveillants JavaScript et Python fortement embrouill\u00e9s. Il est donc plus difficile de les analyser lorsqu\u2019ils sont t\u00e9l\u00e9charg\u00e9s sur le r\u00e9f\u00e9rentiel. La charge malveillante comprend un programme malveillant \u00e9crit en Python, appel\u00e9 Volt Stealer et qui est un script malveillant open-source, et un programme malveillant JavaScript, appel\u00e9 Lofy Stealer qui poss\u00e8de diverses fonctionnalit\u00e9s.<\/p>\n Volt Stealer a \u00e9t\u00e9 utilis\u00e9 pour voler les jetons Discord des dispositifs infect\u00e9s et les adresses IP des victimes, avant que ces donn\u00e9es ne soient t\u00e9l\u00e9charg\u00e9es via HTTP. Lofy Stealer, un nouveau programme mis au point par des cybercriminels, peut infecter les fichiers clients Discord et surveiller les actions des victimes. Il peut notamment d\u00e9tecter lorsqu\u2019un utilisateur se connecte, modifie son adresse e-mail ou son mot de passe, active ou d\u00e9sactive l\u2019authentification \u00e0 plusieurs facteurs et ajoute de nouvelles m\u00e9thodes de paiement (puis vole l\u2019int\u00e9gralit\u00e9 des donn\u00e9es des cartes de cr\u00e9dit utilis\u00e9es). Les informations ainsi collect\u00e9es sont \u00e9galement enregistr\u00e9es sur le terminal \u00e0 distance.<\/p>\n N\u2019importe qui peut t\u00e9l\u00e9charger un package sur un r\u00e9f\u00e9rentiel open-source, mais tous ne sont pas sans danger. Par exemple, les cybercriminels peuvent imiter des packages populaires sur npm et modifier une ou deux lettres dans le nom pour tromper l\u2019utilisateur et lui faire croire qu\u2019il a t\u00e9l\u00e9charg\u00e9 le bon package. Ainsi, nous vous conseillons de rester sur vos gardes et de ne pas croire que tous les packages sont s\u00fbrs.<\/p>\n De fa\u00e7on g\u00e9n\u00e9rale, les environnements de d\u00e9veloppement ou de construction sont des cibles faciles pour les cybercriminels qui cherchent \u00e0 mettre en place des attaques de la cha\u00eene d\u2019approvisionnement. Cela signifie que ces environnements ont de toute urgence besoin d\u2019une bonne protection contre les programmes malveillants, comme Kaspersky Hybrid Cloud Security<\/a>. Nos produits ont d\u00e9tect\u00e9 l\u2019attaque LofyLife en communiquant les verdicts HEUR:Trojan.Script.Lofy.gen et Trojan.Python.Lofy.a.<\/p>\nQu\u2019est-ce que LofyLife ?<\/h2>\n
![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2022\/08\/05105300\/lofylife-malicious-packages-in-npm-repository-proc-title.jpg\")
Comment vous prot\u00e9ger contre les packages malveillants<\/h2>\n