Une campagne malveillante cible actuellement l’écosystème npm, le gestionnaire de paquets incontournable pour les développeurs JavaScript. Les attaquants y ont publié un faux package baptisé OpenClaw, présenté comme un outil légitime, mais qui dissimule en réalité un malware nommé GhostClaw.
Une fois installé, ce code malveillant s’exécute discrètement sur la machine de la victime et commence à collecter des informations sensibles, comme les identifiants, les tokens d’accès ou encore certains fichiers locaux. La propagation repose principalement sur la confiance accordée aux packages open source et sur des techniques de nommage trompeuses imitant des bibliothèques populaires.
Ce type d’attaque illustre la fragilité de la chaîne d’approvisionnement logicielle : une simple dépendance compromise peut contaminer des milliers de projets. Les risques sont majeurs, allant du vol de comptes développeur à la fuite de code source ou de clés API.
Les développeurs sont donc invités à redoubler de vigilance, à vérifier l’origine des packages installés et à surveiller tout comportement suspect après installation.