### Détails de l'attaque L'attaque, découverte dans plusieurs packages de **Namastex Labs**, utilise des techniques de vol d'identifiants, d'exfiltration de données et d'auto-propagation. Bien qu'il existe des similitudes avec les attaques CanisterWorm de **TeamPCP**, l'attribution définitive reste non confirmée. **Socket** a identifié 16 packages **Namastex** compromis, notamment : * @automagik/genie (4.260421.33-4.260421.39) * pgserve (1.1.11–1.1.13) * @fairwords/websocket (1.0.38-1.0.39) * @fairwords/loopback-connector-es (1.4.3-1.4.4) * @openwebconcept/[email protected] * @openwebconcept/[email protected] Ces packages, utilisés dans des outils d'agents IA et des opérations de base de données, suggèrent une focalisation sur des cibles de grande valeur. La nature de ver de l'attaque permet une propagation rapide dans les bonnes conditions. ### Exfiltration de données et auto-propagation Le code malveillant vise à collecter des données sensibles, notamment des jetons, des clés d'API, des clés SSH, des identifiants pour les services cloud, les systèmes CI/CD, les registres, les plateformes LLM et les configurations Kubernetes/Docker. Il cible également les données sensibles stockées dans **Chrome** et **Firefox**, y compris les portefeuilles de cryptomonnaies tels que **MetaMask**, **Exodus**, **Atomic Wallet** et **Phantom**. **StepSecurity** décrit le malware comme un "ver de chaîne d'approvisionnement" capable d'identifier les jetons de publication npm et de s'injecter dans d'autres packages que le jeton compromis peut publier, prolongeant ainsi la brèche. Des versions malveillantes de `pgserve` ont été initialement publiées le 21 avril. Si des jetons de publication sont trouvés, le script identifie les packages publiables, injecte le payload et les republie avec des numéros de version incrémentés, créant ainsi une propagation récursive. Si des identifiants **PyPI** sont trouvés, une méthode similaire est appliquée aux packages Python via un payload basé sur `.pth`, ce qui en fait une menace multi-écosystèmes. ### Atténuation Les développeurs doivent immédiatement considérer toutes les versions de packages listées comme malveillantes, les supprimer des systèmes et des pipelines CI/CD, et faire pivoter tous les secrets potentiellement exposés. **Socket** et **StepSecurity** fournissent des indicateurs de compromission (IOCs) pour aider à identifier les environnements compromis. Les actions recommandées incluent : * Supprimer les packages affectés des systèmes de développement et CI/CD. * Faire pivoter tous les identifiants et données secrètes. * Rechercher les miroirs de packages internes, les artefacts et les caches. **Socket** conseille également d'auditer les packages associés partageant le même fichier `public.pem`, l'hôte webhook ou le modèle `postinstall`.