Le pot aux roses a été découvert par Secure.software (Reversing Labs). Le paquet en question – nodejs_net_server – a été téléchargé près de 1 300 fois depuis février 2019. La première version était un test du processus de publication d’un paquet npm, mais un script de récupération des mots de passe (ChromePass) a été ajouté par la suite.

Ce dernier « n'est pas malveillant en soi, mais il peut le devenir lorsqu'il est entre de mauvaises mains ». Plus tard, ChromePass a été remplacé par TeamViewer, « probablement parce que l'auteur ne voulait pas avoir un lien aussi évident entre le malware et son site Web », sur lequel ChromePass était récupéré sous la forme d’un fichier a.exe.

Détail « amusant », l’auteur de ce paquet malveillant a publié dans une version du paquet son propre listing de mots de passe… avec pas moins de 282 entrées, dont certaines ne respectent pas vraiment les règles de bases sur la sécurité.

• Choisir un bon mot de passe : les règles à connaître, les pièges à éviter

Reversing Labs indique avoir contacté l’équipe sécurité de npm le 2 juillet puis de nouveau le 15 juillet faute de réponse. Le paquet est finalement retiré le 21 juillet. Sa page indique désormais qu’il « contenait du code malveillant et a été supprimé » par l'équipe de sécurité de npm.