Une attaque étendue sur JavaScript NPM diffuse un logiciel malveillant auto-réplicant à travers l'écosystème crypto

Une compromission généralisée de la chaîne d’approvisionnement JavaScript a infiltré plus de 400 packages logiciels dans plusieurs industries, avec des chercheurs en cybersécurité signalant une exposition profonde au sein de l’infrastructure liée à la cryptomonnaie. Les découvertes d’Aikido Security révèlent un schéma inquiétant : l’acteur malveillant a déployé Shai Hulud, un malware sophistiqué auto-réplicant conçu pour se propager de manière autonome dans les environnements de développement et extraire des identifiants sensibles.

Portée de l’attaque et mécanisme technique

Le malware fonctionne différemment des incidents précédents de la chaîne d’approvisionnement NPM. Plutôt que de cibler directement les actifs numériques, ce malware auto-réplicant agit comme un récolteur d’identifiants, volant systématiquement les clés de portefeuille, les tokens API et les secrets d’authentification des systèmes de développement infectés. Chaque détection a été validée pour éliminer les faux positifs, selon la divulgation du chercheur Charlie Eriksen sur les réseaux sociaux.

L’ampleur reste alarmante. La société de cybersécurité Wiz a identifié environ 25 000 dépôts compromis appartenant à environ 350 utilisateurs distincts, avec de nouvelles infections survenant à un rythme de 1 000 nouveaux dépôts toutes les demi-heures. Cette propagation autonome distingue la menace actuelle d’un incident de septembre précédent où les attaquants avaient extrait manuellement $50 millions en cryptomonnaie avant de passer à autre chose.

Infrastructure de la cryptomonnaie sous siège

Au moins dix packages servant l’industrie de la blockchain ont été victimes, principalement liés à l’infrastructure Ethereum Name Service (ENS). L’écosystème affecté comprend des bibliothèques largement distribuées telles que :

• content-hash : environ 36 000 téléchargements hebdomadaires
• address-encoder : dépassant 37 500 téléchargements hebdomadaires
• ensjs, ens-validation, ethereum-ens, ens-contracts : tous compromis

Au-delà des outils spécifiques à ENS, l’attaque a atteint crypto-addr-codec, une utilité cryptographique autonome commandant près de 35 000 téléchargements par semaine. Ces packages servent de dépendances fondamentales pour des centaines de projets en aval, amplifiant le risque d’exposition dans la communauté de développement.

Évaluation de l’impact global

La compromission dépasse les applications de cryptomonnaie. Parmi les victimes notables figurent des plateformes d’automatisation d’entreprise comme Zapier, avec certains packages affectés recevant plus de 40 000 téléchargements hebdomadaires. Certaines bibliothèques compromises enregistrent 1,5 million de téléchargements par semaine, suggérant une exposition potentielle affectant des milliers d’applications finales.

Eriksen a qualifié l’ampleur de l’incident de « massive », avec des efforts d’enquête en cours pour établir l’étendue complète de l’impact. La recommandation immédiate des chercheurs en sécurité est de réaliser des audits exhaustifs de tout environnement de développement utilisant l’infrastructure npm, couplés à une rotation urgente des identifiants et à des procédures de remédiation de la chaîne d’approvisionnement.