36 paquets npm malveillants imitant des plugins Strapi déploient des reverse shells et ciblent la passerelle crypto Guardarian.
En bref
- 36 paquets malveillants déguisés en plugins Strapi CMS ont été découverts sur le registre npm.
- Ils déploient des reverse shells, exploitent Redis et PostgreSQL, et volent des identifiants.
- La campagne cible notamment la passerelle de paiement crypto Guardarian.
Ce qui s'est passé
Des chercheurs en sécurité ont identifié 36 paquets malveillants sur le registre npm, tous déguisés en plugins communautaires pour le CMS open source Strapi. Les paquets suivent une convention de nommage cohérente commençant par « strapi-plugin- » suivie de termes crédibles comme « cron », « database » ou « server », et utilisent le numéro de version 3.6.8 pour se faire passer pour des extensions matures compatibles Strapi v3.
Chaque paquet contient trois fichiers : package.json, index.js et postinstall.js. Ce dernier s'exécute automatiquement après l'installation et déclenche la charge utile. Selon l'analyse publiée par The Hacker News, les payloads varient : certains déploient un web shell PHP et un reverse shell Node.js via SSH dans le répertoire public de Strapi, d'autres exploitent une instance Redis locale pour injecter une entrée crontab téléchargeant et exécutant un script distant toutes les minutes.
L'enquête a révélé que la campagne cible spécifiquement Guardarian, une passerelle de paiement en cryptomonnaies. Les indices incluent des requêtes directes vers les bases de données associées à Guardarian, l'utilisation d'un module API Guardarian, et le ciblage de fichiers de portefeuilles spécifiques. Les chercheurs recommandent à quiconque a installé l'un de ces paquets de considérer son environnement comme compromis et de procéder à une rotation complète des identifiants.
Pourquoi c'est important
Les attaques supply chain via npm ne faiblissent pas. Après les 1 700 paquets nord-coréens et la compromission d'Axios découverts ces dernières semaines, cette campagne confirme que les registres de paquets restent un vecteur d'attaque privilégié. La sophistication est croissante : les attaquants ne se contentent plus de vol de tokens, ils déploient des implants persistants et exploitent les services d'infrastructure locaux comme Redis. Pour les équipes DevSecOps, cela renforce la nécessité d'auditer systématiquement les dépendances avec des outils comme Socket, Snyk ou npm audit, et de verrouiller les versions avec des lockfiles signés.
Ce qu'il faut retenir
- Vérifiez immédiatement si l'un des 36 paquets « strapi-plugin-* » malveillants figure dans vos projets.
- Considérez tout environnement ayant installé ces paquets comme compromis : rotation des clés, tokens et mots de passe.
- Intégrez un outil d'analyse de dépendances dans votre pipeline CI/CD pour détecter les paquets suspects avant déploiement.
Comment vérifier si mes projets sont affectés par ces paquets malveillants ?
Lancez la commande « npm ls » dans chacun de vos projets et recherchez tout paquet commençant par « strapi-plugin- » avec la version 3.6.8. Vous pouvez aussi utiliser « npm audit » pour une vérification automatisée. Si vous trouvez l'un de ces paquets, supprimez-le immédiatement, purgez le cache npm, et procédez à un audit complet de votre serveur, en particulier les répertoires publics de Strapi et les entrées crontab.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
CISA : patch d'urgence Ivanti EPMM avant le 11 avril
La CISA ordonne le patch de la faille critique CVE-2026-1340 dans Ivanti EPMM avant le 11 avril. Exécution de code à distance sans authentification.
Microsoft baisse les prix de Windows 365 de 20 %
Microsoft réduit de 20 % les tarifs Windows 365 Cloud PC dès mai 2026, avec un nouveau mode hibernation pour optimiser les coûts.
Corée du Nord : 1 700 paquets malveillants infiltrent npm et PyPI
Des hackers nord-coréens ont infiltré 1 700 paquets malveillants dans npm, PyPI, Go et Rust, ciblant les développeurs via la supply chain logicielle.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire