node-ipc (peacenotwar)

Point de compromission dans la chaîne Rupture · étape Gouvernance

Source

Gouvernance

Dépendances

deps

Build & CI

ci

Packaging

artefact

Release

provenance

Registres

distribution

Déploiement

admission

Runtime

exécution

Rayon d'explosion — compromission à l'étape Gouvernance, propagation possible aux consommateurs. Domaines : Gouvernance, Source, Intégration, Packaging, Fournisseurs, Vulnérabilités

Gravité critique

Le mainteneur introduit du code (protestware) qui, selon la géolocalisation IP, écrase des fichiers : un wiper conditionnel dans une dépendance populaire.

CVE-2022-23812

identifiant

1 M

dl de node-ipc

4 M

dl autres paquets

@vue/cli

victime en aval

En bref

Date

15/03/2022

Gravité

Critique

Étape de la chaîne

Gouvernance

Domaines SOCLE

Gouvernance+ Source, Intégration, Packaging, Fournisseurs, Vulnérabilités

CVE

CVE-2022-23812 · CVSS 9.8

Que s'est-il passé ?

Contexte

L'auteur des bibliothèques npm node-ipc (1 M de téléchargements) sabote volontairement son propre paquet en protestation (protestware), via le module peacenotwar.

Mécanisme

Les versions corrompues exécutent du code obfusqué qui dépose un fichier sur le bureau et, selon l'origine géographique de l'adresse IP, réécrit des fichiers de la machine.

Impact

L'incident touche de gros projets en aval comme @vue/cli (CVE-2022-23812) et pose la question de la réputation des mainteneurs : les autres paquets de l'auteur cumulent 4 M de téléchargements.

Parades

Épingler les versions de dépendances, revue des mises à jour de paquets sensibles, diversification et veille sur la confiance accordée à un mainteneur unique, et builds reproductibles.

Comment l'attaquant a procédé

Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :

V-GOV-2 Protestware / sabotage V-DEP-5 Dépendance transitive malveillante

La leçon à en tirer

Ce qu'il faut retenir

Pin des versions, revue des dépendances, surveillance runtime des effets de bord.

Les exigences SOCLE qui auraient limité cet incident

Cet incident se rattache à 42 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :

Fournisseurs SOCLE-FRN-DEV-2SOCLE-FRN-DLV-1SOCLE-FRN-GEN-1SOCLE-FRN-GEN-3SOCLE-FRN-OSS-2SOCLE-FRN-OSS-3

Gouvernance SOCLE-GOV-GEN-4SOCLE-GOV-INV-2SOCLE-GOV-RSK-1

Intégration SOCLE-INT-DEP-1SOCLE-INT-DEP-2SOCLE-INT-DEP-3SOCLE-INT-GEN-1SOCLE-INT-GEN-5SOCLE-INT-OSS-1SOCLE-INT-OSS-3SOCLE-INT-VER-3

Packaging SOCLE-PKG-GEN-1SOCLE-PKG-SBM-1SOCLE-PKG-SBM-2SOCLE-PKG-SBM-3SOCLE-PKG-SCN-1SOCLE-PKG-SCN-3

Source SOCLE-SRC-FRK-3

Vulnérabilités SOCLE-VLN-DIS-1SOCLE-VLN-DIS-2SOCLE-VLN-DIS-3SOCLE-VLN-DIS-4SOCLE-VLN-GEN-1SOCLE-VLN-GEN-2SOCLE-VLN-GEN-3SOCLE-VLN-GEN-5SOCLE-VLN-INV-1SOCLE-VLN-INV-2SOCLE-VLN-INV-3SOCLE-VLN-REM-1SOCLE-VLN-REM-2SOCLE-VLN-REM-3SOCLE-VLN-REM-4SOCLE-VLN-VEX-1SOCLE-VLN-VEX-2SOCLE-VLN-VEX-3

Pour aller plus loin

Source d'origineLe compte rendu détaillé de l'incident Vecteurs : GouvernanceLes attaques de cette étape de la chaîne Tous les incidentsLe catalogue filtrable

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →