Auteur de l'actualité : Crypto Emergency
Le matériel est informatif et ne constitue pas une recommandation en matière de sécurité. Les développeurs doivent vérifier d'urgence leurs dépendances.
Que s'est-il passé ?
Des hackers ont compromis le registre de paquets NPM — la plus grande plateforme de distribution de bibliothèques JavaScript — et ont introduit du code malveillant dans 18 paquets populaires. L'objectif de l'attaque : le vol de cryptomonnaies par la substitution d'adresses de portefeuille et l'interception de transactions dans le navigateur.
Selon Aikido Security, l'attaque a commencé par un e-mail de phishing envoyé à l'un des mainteneurs sous le pseudo qix. Les cybercriminels ont accédé à son compte et ont commencé à publier des versions infectées des bibliothèques. Lorsque le développeur a tenté de supprimer les paquets malveillants, il a perdu l'accès à son compte.
Comment fonctionne le code malveillant ?
Le logiciel malveillant n'affecte pas les serveurs ou les environnements de développement. Il s'active du côté client - dans le navigateur - et :
- Intercepte l'activité Web3
- Remplace les adresses des portefeuilles cryptographiques
- Réécrit les attributions de transactions
- Affiche une interface correcte, mais redirige les fonds vers des adresses de hackers
Quels paquets ont été infectés ?
Parmi les compromis se trouvent des bibliothèques utilisées dans presque chaque deuxième projet JavaScript.
Le volume total des téléchargements de ces paquets est supérieur à 2 milliards par semaine.
Comment l'attaque a-t-elle été découverte ?
Le système de surveillance Aikido a détecté des mises à jour suspectes de paquets longtemps inactifs. Par exemple, la bibliothèque is-arrayish, qui n'avait pas été mise à jour depuis plus de 5 ans, a soudainement reçu une nouvelle version contenant du code malveillant obfusqué.
Recommandations pour les développeurs
Vérifiez d'urgence les dépendances et revenez à des versions sûres
Utiliser des outils de surveillance de la chaîne d'approvisionnement
Éviter les mises à jour automatiques sans vérification
Surveiller attentivement les transactions si l'application traite des cryptomonnaies
Attaques parallèles
Simultanément à l'incident sur NPM, les analystes de PeckShield ont signalé le piratage de la plateforme décentralisée Nemo Protocol sur la blockchain Sui. Les pertes s'élevaient à 2,4 millions de dollars.