Sécurité

Des milliers de paquets npm exposés en raison de noms de domaine expirés

Selon un récent projet de recherche académique, plusieurs milliers de paquets npm seraient mis en danger à cause d'adresses e-mail aux noms de domaine expirés.

L'étude en question, menée l'année dernière (décembre 2021) par une équipe de chercheurs de Microsoft et de l'université d'État de Caroline-du-Nord, porte sur l'analyse des métadonnées de très exactement 1 630 101 bibliothèques JavaScript présentes dans le Node Package Manager (registre npm).



Il en ressort que 2 818 développeurs utilisent une adresse e-mail avec un nom de domaine arrivé à expiration pour les comptes de leurs projets (ah, ces side projects qui nous tiennent tant à cœur !). Une bonne partie de ces noms de domaine seraient par ailleurs libres à l'achat.

L'équipe de chercheurs explique que des personnes mal intentionnées pourraient justement acheter ces noms de domaine, re-enregistrer les adresses e-mail des mainteneurs ainsi renseignées, et prendre la main sur leurs paquets npm en procédant facilement à un reset du mot de passe. Une telle prise en main reste encore possible à ce jour car le portail npm n'impose pas l'usage de l'authentification à deux facteurs (2FA) pour les propriétaires de comptes.

Au total, l'équipe de recherche explique que ces 2 818 propriétaires de comptes portent à eux seuls (et exposent, de fait) 8 494 paquets npm. Il précisent également que chacun de ces paquets dispose en moyenne d'environ 2,43 dépendances directes, ce qui implique qu'une opération malveillante pourrait en réalité impacter des dizaines de milliers de projets en aval.

Bien que les tentatives de récupération puissent être identifiées par les propriétaires de comptes, les chercheurs mettent néanmoins en avant le fait que beaucoup de bibliothèques et projets ne sont plus maintenus (58,7%), ce qui augmente le risque que d'éventuelles attaques passent inaperçues aux yeux des mainteneurs.



Les chercheurs expliquent avoir informé l'équipe de sécurité de npm de leur découverte ainsi que GitHub, qui détient le gestionnaire de paquets depuis 2020. Alors qu'aucune réponse ne leur a été faite, on peut néanmoins noter que les équipes de npm ont annoncé fin 2021 leur souhait de renforcer progressivement la sécurité des comptes de développeurs à l'aide de la double authentification.

Ce process de sécurisation se déroule en plusieurs phases, la première étant la configuration obligatoire d'une authentification 2FA pour le top 100 des comptes mainteneurs de la plateforme, mise en place au cours du mois de janvier.

Parmi les autres points mis en avant par cette étude :

  • 2,2% (33 249) paquets font usage de scripts d'installation, ce qui va à l'encontre des recommandations en sécurité de npm et pourrait permettre l'exécution de commandes malicieuses.
  • Le top 1% des paquets npm (14 941) sont en moyenne maintenus par 32,4 personnes, ce qui augmente le risque d'attaques par le biais de comptes inactifs.
  • 389 paquets ont un ratio de 40 contributeurs pour un seul mainteneur, exposant ces projets à l'apparition de failles de sécurité (volontaires ou non) par le biais de contributions trop nombreuses.
  • Le top 1% des mainteneurs sont propriétaires d'environ 180,3 paquets, disposant chacun d'une moyenne de 4 010 de paquets avec des dépendances directes. Ces développeurs surchargés présentent également un risque de sécurité car ils ne disposent pas du temps nécessaire pour la bonne maintenance et le suivi des paquets sur lesquels ils travaillent.

Consulter l'étude mentionnée dans cet article : What are Weak Links in the npm Supply Chain?

Suivre Les Joies du Code sur Twitter

À propos de l'auteur
Nicolas Lecointre
Chief Happiness Officer des développeurs, ceinture noire de sudo. Pour rire, j'ai créé Les Joies du Code. J'utilise Vim depuis 10 ans parce que je sais pas comment le quitter.
Événements

Hackathon grandeur nature : codez au Parc des Princes, 150 000 dollars à la clé

Participez au hackathon Hacking Paris de Chiliz, du 11 au 13 juillet 2025 au Parc des Princes

Hackathon Hacking Paris 2025 — Croyez-moi, des hackathons, j’en ai vu passer. Mais DANS UN STADE et qui plus est au Parc des Princes, permettez-moi de vous le dire : c’est du jamais vu.

# En partenariat avec Chiliz

À vos agendas : du 11 au 13 juillet 2025, Chiliz, qui propose aux fans de sport et d'e-sport de se rapprocher de leurs clubs et athlètes préférés, organise un hackathon grandeur nature dans l’antre historique du PSG.

Hacking Paris est un événement 100% gratuit, pensé pour les développeurs et ceux qui s’intéressent à la blockchain, avec pour objectif de donner vie à vos projets pour faire évoluer l’écosystème.

Je participe au hackathon 🤩

150 000 dollars à la clé

Vous avez bien lu. CENT. CINQUANTE. MILLE. DOLLARS.

Dans ce hackathon, les meilleures idées ne repartiront pas juste avec les félicitations du jury et un .zip de leur projet. 👀

150 000 dollars sont mis en jeu par Chiliz pour récompenser les projets gagnants, répartis sur 5 grandes thématiques :

  • Utilisation des fan tokens : 50 000 $
  • Contenus créés par les fans et plateformes de monétisation : 24 000 $
  • Outils ou services DeFi (finance décentralisée) : 22 000 $
  • Agents ou outils basés sur l’IA pour le sport : 22 000 $
  • Fonctionnalités et connectivité du portefeuille Socios : 22 000 $
  • Récompenses spéciales : 10 000 $

Je m’inscris à Hacking Paris ⚽️

Construisez le futur de l’engagement sportif

Hacking Paris invite les développeurs à imaginer des applications décentralisées capables de réinventer la relation entre les clubs et leurs supporters. 🙌

Fan tokens, gouvernance décentralisée, NFTs, expériences immersives dans les stades… Cet événement XXL sera l’occasion de monter vos projets, et cela durant les trois jours du hackathon.

Le stade du Parc des Princes, où prendra lieu le hackathon Hacking Paris

Pas besoin d’être un expert de la Chiliz Chain pour participer : les ressources et la documentation nécessaires sont fournies — accessibles depuis le site de l’événement —, et des mentors seront présents sur place pour vous accompagner, avec une première journée de workshops pour vous permettre de prendre en main les outils et affiner votre projet.

Dès le début de soirée de cette première journée (vendredi 11 juillet) : les choses sérieuses commencent. 🔥

Vous serez alors libres de vous lancer sur le développement des solutions que vous aurez imaginées, qui devrait vous tenir en haleine jusqu’au dimanche midi, où débuteront les démos des projets.

Des invités de renom devraient également prendre part à l’événement (line-up à venir), de quoi nourrir l’effervescence qui régnera au Parc des Princes pendant ces trois jours d’innovation.

Pourquoi participer ?

En plus des prix exceptionnels, Hacking Paris permet de se connecter à une communauté Web3 internationale, d’échanger avec des experts du secteur et d’explorer des opportunités concrètes dans l’écosystème Chiliz, au-delà du hackathon.

Les projets retenus pourront quant à eux bénéficier d’un accompagnement après l’événement, et gagner en visibilité auprès d’acteurs clés du sport et de la tech.

Je m’inscris dès maintenant pour Hacking Paris — du 11 au 13 juillet au Parc des Princes (GRATUIT) 🏟️