La plus grande attaque de la chaîne d'approvisionnement NPM de l'histoire ! Les bibliothèques JS centrales ont été compromises, les fonds des utilisateurs chiffrés pourraient être volés.

L'écosystème JavaScript mondial fait face à la plus grande attaque de la chaîne d'approvisionnement NPM de son histoire. Des hackers ont infiltré le compte d'un développeur renommé du Node Package Manager (NPM), injectant du code malveillant dans les bibliothèques JavaScript essentielles sur lesquelles des millions d'applications dépendent, ciblant directement les fonds des Portefeuille des utilisateurs de Cryptoactifs.

Détails de l'attaque : la bibliothèque centrale a été implantée avec un « éditeur de cryptographie »

Selon plusieurs rapports de sécurité, les packages affectés comprennent des utilitaires tels que chalk, strip-ansi et color-convert, qui sont profondément enfouis dans les arbres de dépendance de nombreux projets, avec plus d'un milliard de téléchargements par semaine.

Fonction malveillante : remplacer discrètement l'adresse du portefeuille cryptoactif pendant le processus de transaction (surnommé « clipper crypto »)

Risques potentiels : les utilisateurs transfèrent des fonds vers une adresse contrôlée par des hackers à leur insu.

Le directeur technique de Ledger, Charles Guillemet, a averti : « Tout l'écosystème JavaScript pourrait être en danger. »

Les utilisateurs de chiffrement deviennent des cibles à haut risque

Les chercheurs en sécurité signalent que les utilisateurs qui dépendent des Portefeuilles logiciels ont le risque le plus élevé, car des codes malveillants peuvent altérer les détails des transactions sur les sites Web ou dans les applications.

Les utilisateurs de Portefeuille matériel sont relativement en sécurité, car chaque transaction doit être confirmée sur un appareil physique.

Le fondateur de DefiLlama, 0xngmi, rappelle que le code malveillant ne videra pas automatiquement le Portefeuille, mais modifiera le contenu de la transaction lorsque l'utilisateur cliquera sur « échanger » ou « confirmer ».

En raison de l'incapacité des utilisateurs à identifier facilement quels sites ont mis à jour leurs versions de sécurité, les experts recommandent de suspendre les transactions en cryptoactifs sur les sites dont la sécurité est incertaine, jusqu'à ce que les paquets affectés soient entièrement nettoyés.

Méthode d’attaque : E-mails de phishing pour saisir les comptes des mainteneurs

(source : Github)

Les attaquants se sont fait passer pour des e-mails de phishing soutenus par le NPM officiel, incitant les mainteneurs à mettre à jour l'authentification à deux facteurs sur un faux site, ce qui leur a permis de voler des identifiants de connexion.

Une fois le contrôle du compte acquis, les hackers peuvent pousser des mises à jour malveillantes vers des paquets téléchargés des milliards de fois.

Le chercheur en sécurité Aikido, Charlie Eriksen, a déclaré que le danger de cette attaque réside dans le fait qu'elle peut « altérer simultanément le contenu affiché sur le site, les appels API, ainsi que les données de transaction que l'application utilisateur pense être en cours de signature ».

Pourquoi est-ce la « plus grande attaque de la Supply Chain de l'histoire » ?

Impact étendu : touchant des millions d'applications et de sites web

Profondeur d'infiltration élevée : la bibliothèque fonctionnelle principale est située au niveau inférieur de la chaîne de dépendance, et peut être affectée même si elle n'est pas installée directement.

Ciblage fort : spécialement axé sur les transactions de chiffrement et les fonds de Portefeuille

Cela signifie que, des développeurs front-end aux utilisateurs finaux, toute la chaîne pourrait devenir une cible d'attaque.

Conclusion

Cette attaque de la chaîne d'approvisionnement NPM met à nouveau en évidence la vulnérabilité de l'écosystème open source et la haute risque du marché des cryptoactifs. Pour les développeurs, il est conseillé de vérifier immédiatement et de revenir à une version sécurisée ; pour les utilisateurs de cryptoactifs, il est préférable d'éviter de trader sur des sites dont la sécurité est incertaine dans un avenir proche et d'utiliser autant que possible un portefeuille matériel pour la gestion des actifs.