Cybersécurité à l'instant0Ajouter aux favoris

Sept packages npm typosquattés autour de Vite planquent leur adresse de commande dans une transaction blockchain - un canal C2 quasi impossible à couper.
The Hacker News rapporte le 17 juillet 2026 la découverte de sept packages npm malveillants typosquattant l'écosystème Vite (le bundler front-end concurrent de Webpack). Les packages livrent un RAT - Remote Access Trojan - dont l'originalité tient au canal de commande et contrôle : l'adresse du serveur C2 est encodée dans une transaction blockchain, pas en dur dans le code.
npm install d'un package légitime… avec une lettre en trop ou en moins (typosquatting).Tout développeur ou équipe front-end qui npm install sans vérifier scrupuleusement les noms de packages. Vite est massivement adopté (React, Vue, Svelte, SolidJS l'utilisent comme dev server par défaut), donc la population cible est énorme. Les CI/CD sont aussi en première ligne : un package malveillant tiré une seule fois par un runner Jenkins ou GitHub Actions suffit à compromettre la chaîne de build.
Le vrai sujet ici n'est pas le typosquatting - technique connue depuis les débuts de npm et régulièrement observée. Le sujet, c'est le C2 via blockchain. Concrètement :
L'avantage pour l'attaquant : on ne peut pas prendre la transaction en sinkhole. Elle est immuable, distribuée, censurable seulement en bloquant toute la blockchain publique. Fini le takedown du domaine C2 par le hoster ou le registrar. Cette technique n'est pas nouvelle en absolu (des variantes existent depuis 2018 sur Bitcoin) mais elle reste rare en pratique et son apparition sur npm signale une professionnalisation continue des acteurs supply-chain.
Côté défense, la parade reste la même que pour toute compromission npm : audit, verrouillage des dépendances, revue des scripts d'install.
package-lock.json récents : rechercher les packages installés dans les 30 derniers jours et comparer les noms avec la liste officielle Vite (vitejs.dev). Les noms suspects (majuscules exotiques, tirets bas, homoglyphes) → suspicion.npm config set ignore-scripts true dans les environnements CI (compromis d'ergonomie, mais gain sécurité massif).Un C2 sur blockchain publique est quasi-immortel : aucun registrar à saisir, aucun hébergeur à contacter, aucune juridiction ne peut faire retirer la transaction. La défense doit se déplacer plus haut dans la chaîne : le poste développeur et la CI.
Les noms exacts des sept packages typosquattés, la blockchain utilisée pour le C2, la famille du RAT et l'ampleur des téléchargements avant retrait par npm ne sont pas détaillés dans la source citée. Nous mettons à jour dès publication de l'advisory Socket ou GitHub Security.
Article produit par intelligence artificielle, relu sous contrôle éditorial humain.
Connectez-vous pour rejoindre la discussion.
Soyez le premier à commenter.