Une importante attaque de la chaîne d'approvisionnement JavaScript ciblant les portefeuilles crypto via des paquets npm compromis a été largement contenue, n'entraînant que 1 043 $ de cryptomonnaie volée.

Résumé analytique

Une récente et vaste attaque de la chaîne d'approvisionnement JavaScript, identifiée comme la plus grande compromission npm de l'histoire, a ciblé les portefeuilles de cryptomonnaies par le biais de mises à jour malveillantes de packages GitHub populaires. Malgré sa portée potentielle étendue, impactant des packages utilisés par 99 % des environnements cloud et avec du code malveillant présent dans 10 % de ces environnements, l'attaque a entraîné des pertes financières minimes, totalisant seulement 1 043 $ de cryptomonnaie volée. Cet impact limité est attribué à une détection rapide en deux heures, une charge utile étroitement conçue et une sensibilisation accrue des développeurs à la sécurité, associée aux protections existantes.

L'événement en détail

L'incident, qui s'est déroulé le 8 septembre 2025, impliquait des acteurs malveillants prenant le contrôle du compte npm du développeur Qix (Josh Junon) par le biais d'une campagne de phishing sophistiquée. L'attaquant a utilisé un e-mail de réinitialisation d'authentification à deux facteurs (2FA) convaincant provenant d'un faux domaine pour acquérir les identifiants du mainteneur. Cet accès non autorisé a permis la publication de versions malveillantes de 18 packages npm populaires, notamment debug, chalk, supports-hyperlinks et strip-ansi, qui accumulent collectivement des milliards de téléchargements hebdomadaires. Les versions malveillantes sont restées actives sur le registre npm pendant environ deux heures, de 13h16 UTC à environ 15h20 UTC, moment où la communauté a identifié le code suspect et les mainteneurs sont revenus à des versions saines.

Mécanismes financiers et vecteurs d'attaque

Le code malveillant injecté ne ciblait pas les environnements côté serveur mais se concentrait sur l'interception des transactions crypto et des appels d'API Web3 dans les environnements de navigateur. L'attaque a employé deux mécanismes principaux : le détournement de portefeuille et la manipulation de la réponse réseau. Le détournement de portefeuille impliquait de s'accrocher à window.ethereum pour intercepter les appels vers des portefeuilles tels que MetaMask, redirigeant silencieusement les transactions sortantes vers des adresses contrôlées par l'attaquant. La manipulation de la réponse réseau a annulé fetch et XMLHttpRequest pour scanner les réponses API à la recherche d'adresses de blockchain, les remplaçant ensuite par des adresses d'attaquants visuellement similaires à l'aide d'un algorithme de "correspondance la plus proche" de Levenshtein. L'attaque a pris en charge le ciblage multi-chaînes, y compris Ethereum, Bitcoin, Litecoin, Tron, BCH et Solana. L'impact financier minimal de 1 043 $ est partiellement attribué à un bogue critique dans le code injecté qui a provoqué le crash des pipelines CI/CD, entraînant une détection plus précoce que prévu.

Implications plus larges et posture de sécurité

Cet incident souligne les vulnérabilités inhérentes à la chaîne d'approvisionnement des logiciels open source, en particulier en ce qui concerne les dépendances transitives et la sécurité des comptes des mainteneurs. La télémétrie de Wiz a indiqué que 99 % des environnements cloud contenaient au moins une instance des packages ciblés par cette attaque, et que le code malveillant a atteint 10 % de ces environnements pendant la fenêtre de compromission. L'attaque met en évidence une tendance croissante des compromissions sophistiquées de la chaîne d'approvisionnement logicielle dans l'écosystème crypto. Les implications à long terme incluent une vigilance et un examen accrus de la sécurité de la chaîne d'approvisionnement logicielle au sein de la communauté de développement Web3. Cet événement devrait accélérer l'adoption de pratiques de sécurité plus robustes, telles que la génération de listes de matériaux logiciels (SBOM), la mise en œuvre du cadre SLSA, l'audit régulier des dépendances, l'utilisation de fichiers de verrouillage de packages et la considération de registres npm privés pour les applications critiques. Ces mesures sont cruciales pour atténuer les risques associés aux dépendances de développement fiables devenant des vecteurs de distribution de logiciels malveillants financiers et pour améliorer la posture de sécurité globale de la finance décentralisée.