La bibliothèque JavaScript, qui gère les requêtes réseau dans les applications web, est installée des millions de fois par semaine sur npm. Cette banalité en fait une cible parfaite. Si vous réussissez à la compromettre, vous touchez en même temps des milliers d’environnements de développement dans le monde entier. Cela se produit sans que vous ayez besoin de cibler une entreprise. Les opérateurs d’UNC1069 ont agi de cette façon.

Une attaque construite sur la durée Les attaquants ont dans un premier temps publié sur npm une dépendance externe appelée plain-crypto-js dans une version parfaitement saine. L’objectif était de la rendre crédible aux yeux des systèmes de sécurité et des développeurs. Quelques jours plus tard, cette version a été remplacée par une version malveillante. Celle-ci contenait un script d’installation dissimulé baptisé SILKBELL.