Le gestionnaire de paquets JavaScript NPM délivre une porte dérobée via la bibliothèque getcookies

Une porte dérobée a été identifiée sur un package distribué par le gestionnaire de paquets populaire NPM. Le package concerné est getcookies.

Le paquet en question, contenant une bibliothèque JavaScript, est relativement récent et a été utilisé par peu de projets d’après NPM. Cependant, il est sollicité de manière indirecte par la bibliothèque populaire MailParser.

L'équipe de NPM indique que getcookies contient un système complexe pour recevoir des commandes d'un attaquant distant qui pourrait cibler n'importe quelle application JavaScript incorporant cette librairie. La porte dérobée fonctionne en analysant les requêtes HTTP request.headers, à la recherche de données spécifiquement formatées afin d’identifier les commandes à exécuter. Elle pourrait, notamment, permettre à un attaquant de saisir du code de manière arbitraire sur un serveur et de l'exécuter.

NPM a déclaré avoir banni les paquets getcookies, en addition des dépendances express-cookies et http-fetch-cookies. NPM a également supprimé l'utilisateur dustin87, auteur du paquet malveillant, et a bloqué trois versions de MailParser (2.2.3, 2.2.2 et 2.2.1) dépendantes du module http-fetch-cookies.