Accueil Alertes Signaler Actualités À propos Aide d'urgence
L'arnaque au "Test Technique" (npm install) qui vérole votre machine
Article Admin 24/01/2026 à 11:20 il y a 3 mois

L'arnaque au "Test Technique" (npm install) qui vérole votre machine

Cible : Développeurs (Frontend, Mobile, Blockchain), Freelances Vecteur : GitHub / npm / Entretien technique Entité Signalée : "Pulsenow" (Co-Founder & COO)
L'Anatomie du piège : "Juste un petit test technique".

L'arnaque est redoutable car elle exploite la curiosité et le professionnalisme des développeurs. Le scénario est toujours le même :

  1. L'approche flatteuse : Un "Co-Founder" ou "CTO" vous contacte (LinkedIn, Discord, Telegram). Il est impressionné par votre profil.

  2. L'urgence maîtrisée : Le feeling passe bien, il veut valider vos compétences vite avec un petit test pratique.

  3. Le Repo Piégé : Il vous envoie un lien vers un repo GitHub privé ou public qui semble légitime (structure de projet React/Flutter/Node.js classique).

  4. L'exécution fatale : Le README demande de lancer npm install et npm start.

🚨 Dès que vous tapez ces commandes, c'est fini. Le script de pré-installation (preinstall) ou de démarrage lance une requête vers un serveur distant, télécharge le payload (souvent du Python ou du Node.js obfusqué) et l'exécute en arrière-plan pendant que votre "application de test" se lance pour faire diversion.

Analyse Technique : Ce qui se cache dans le code (Cas Pulsenow)

D'après les captures et les analyses de sécurité récentes sur cette campagne :

  • Vecteur : Le fichier package.json contient souvent une ligne suspecte dans scripts ou utilise une dépendance malveillante (Typosquatting).

  • L'Obfuscation : Le code malveillant est souvent encodé (Base64) ou caché dans des fichiers d'apparence anodine (images, fichiers de config).

  • Le But : Ce n'est pas de vous voler 50€. C'est d'installer un Infostealer pour récupérer vos accès à vos repos d'entreprise, vos serveurs de prod, ou vos portefeuilles crypto.

Note sur "Pulsenow" : Des signalements récents identifient spécifiquement des faux recruteurs (ex: "Kostiantyn") se faisant passer pour le COO de cette entité pour diffuser ce malware.

🛡️ Comment se protéger (Checklist pour Devs)

Ne lancez JAMAIS un code inconnu sur votre machine principale ("host").

  1. La Règle de la Sandbox : Tout test technique doit être exécuté dans une machine virtuelle (VM), un conteneur Docker isolé, ou un environnement jetable (type StackBlitz/CodeSandbox) si possible.

  2. Audit du package.json : Avant tout npm install, lisez les scripts. Cherchez les commandes curl, wget, ou des exécutions de fichiers obscurs (node .x/setup.js).

  3. Vérifiez l'ancienneté : Un repo de "test" créé il y a 2 jours par un utilisateur GitHub créé il y a 3 jours est un immense Red Flag.

  4. Le "Social Engineering" : Un COO qui vous contacte direct pour un test technique sans passer par un RH ou un process structuré, c'est suspect.

Conclusion

Si vous avez exécuté ce code :

  • Coupez internet immédiatement.

  • Considérez la machine comme compromise. Formatez-la.

  • Changez tous vos mots de passe depuis un autre appareil.

  • Révoquez vos clés SSH et API (AWS, GitHub, etc.).

Partager cet article

Commentaires (0)

Articles similaires

L'Effet Domino : Après la fuite de la DGFiP, l'arnaque à la Saisie Administrative (SATD) explose
08/03/2026

L'Effet Domino : Après la fuite de la DGFiP, l'arnaque à la Saisie Administrative (SATD) explose

Le piège se referme

Nous vous en parlions il y a quelques jours : le piratage des systèmes de la D...

Alerte Cybersécurité : Quand la DGFiP devient la cible des pirates
19/02/2026

Alerte Cybersécurité : Quand la DGFiP devient la cible des pirates

Dans le paysage complexe de la cybercriminalité, s'attaquer à la Direction Générale...

Retour aux actualités