Opérations de Phishing continues ciblant les développeurs et l'écosystème NPM
3 octobre 2025
Par Samantha Clarke, Hiwot Mendahun et l'équipe de recherche sur les menaces de Mimecast
- Deux campagnes majeures ciblant npm ont été identifiées dans le cadre d'un paysage de menaces plus large : en juillet "(maintenance des comptes)" et en septembre "(mise à jour de sécurité relative à l'authentification à deux facteurs)" (opérations)
- Ces campagnes npm témoignent d'une intensification des attaques visant les infrastructures de développement critiques à l'aide de logiciels libres
- 14 septembre 2025 : "Shai-Hulud": déploiement d'un ver autoreplicatif lié à des identifiants piratés
- Le ver s'est infiltré dans plus de 180 paquets npm grâce à une réplication autonome, illustrant ainsi son évolution : du vol d'identifiants aux malware ciblant la chaîne d'approvisionnement
Présentation de la campagne
L'équipe Mimecast Threat Research surveille de près, depuis juillet 2025, une campagne d'attaques en plusieurs étapes visant l'écosystème npm. Nos recherches mettent en évidence une évolution allant des attaques de phishing visant à dérober des identifiants à la compromission de la chaîne logistique de l'"Shai-Hulud", survenue le 14 septembre 2025. Grâce à une surveillance continue des menaces, nous avons identifié deux campagnes majeures de Phishing qui ont précédé directement la compromission à grande échelle de paquets npm.
Chronologie de la campagne suivie par Mimecast
Juillet 2025 - Campagne de maintenance des comptes La première activité de Phishing ciblant npm a été identifiée en juillet 2025 ; elle utilisait des leurres d’ingénierie sociale de type « maintenance de compte » ( ") et «" ». Ces campagnes redirigeaient les développeurs vers des domaines issus de « typosquatting » qui imitaient l'infrastructure légitime de npm, en ciblant les responsables de paquets avec des notifications urgentes concernant la gestion de leur compte.
- Appât utilisé : Exigences en matière de gestion et de vérification du compte
- Mode d'attaque : e-mails de Phishing se faisant passer pour des communications officielles de npm
- Objectif : Collecte d'identifiants ciblant les comptes de responsables de maintenance à forte valeur ajoutée
- Infrastructure : Domaines faisant l'objet de typosquatting , notamment npnjs.com
Campagne de mise à jour de sécurité: une intensification a été observée début septembre, avec une campagne plus sophistiquée exploitant des leurres liés à la mise à jour de sécurité de l'authentification à deux facteurs (2FA) d'":". Cette campagne a mis en évidence des techniques de contournement sophistiquées et des messages ciblés, spécialement conçus pour exploiter la vigilance des développeurs en matière de sécurité.
- Appât utilisé : mises à jour obligatoires de l'authentification à deux facteurs (2FA) et exigences de conformité en matière de sécurité
- Mode d'attaque : e-mails de Phishing se faisant passer pour des communications officielles de npm
- Objectif : Collecte à grande échelle d'identifiants avant le déploiement dans la chaîne logistique
14 septembre 2025 - Déploiement de Shai-Hulud Ces opérations de collecte d'identifiants ont abouti au déploiement du ver autoreplicatif Shai-Hulud" de l'". En utilisant des comptes compromis lors de précédentes campagnes de Phishing, les cybercriminels ont déployé un malware autonome qui s'est propagé dans tout l'écosystème npm sans autre intervention humaine.
- Vecteur d'attaque : comptes de responsables de maintenance compromis à la suite de précédentes campagnes de Phishing
- Charge utile : ver autoréplicatif utilisant des scripts malveillants exécutés après l'installation (bundle.js)
- Portée : 18 paquets ciblés dans un premier temps , puis plus de 180 grâce à la réplication autonome
- Capacités : vol d'identifiants sur plusieurs vecteurs (jetons npm, identifiants GitHub, secrets de plateformes cloud)
Protection Mimecast
Les capacités avancées de détection des menaces de Mimecast ont permis d'identifier et de bloquer ces campagnes grâce à plusieurs niveaux de protection.
Objectifs
Région et secteur d'activité : Ciblage mondial avec des effets concentrés sur les entreprises technologiques fortement dépendantes des paquets npm, notamment les entreprises de fintech, de technologies de la santé et de développement de logiciels d'entreprise.
Le ciblage principal vise les professionnels du développement logiciel sur plusieurs plateformes, les responsables de maintenance npm constituant des cibles de grande valeur en raison de leur accès à la chaîne d'approvisionnement. Les cibles secondaires comprennent les ingénieurs DevOps, les professionnels de la sécurité et les équipes de développement d'entreprise chargées de gérer les dépendances des infrastructures critiques.
Indicateurs de compromission (IOC)
Infrastructure spécifique à NPM
- npnjs.com (domaine principal victime de typosquatting)
- npm-security.com (infrastructure secondaire de Phishing)
- npmjs.help (page de collecte d'identifiants)
- npmjs-security.org (page de collecte d'identifiants)
Recommandations
Mesures à prendre immédiatement :
- Sensibiliser les utilisateurs aux menaces liées à npm, à OAuth, aux plateformes SaaS et à l'infrastructure de développement, notamment en ce qui concerne des mesures spécifiques telles que la gestion des comptes, les mises à jour de sécurité et l'usurpation d'identité sur les plateformes
- Mettre en place des protocoles permettant de vérifier de manière indépendante les communications critiques sur l'ensemble des plateformes de développement
Recherche de menaces :
- Recherchez dans les journaux des e-mails de confirmation et les journaux d'URL les indicateurs techniques associés à ces campagnes
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!