Attaque de la chaîne d'approvisionnement NPM : un avertissement pour les utilisateurs d'échanges Crypto ?

L'une des plus grandes plateformes d'échange de crypto au monde a rassuré ses clients mardi en affirmant qu'aucune donnée utilisateur ni aucun actif n'avaient été compromis lors de ce qui est considéré comme l'une des plus grandes attaques de la chaîne d'approvisionnement jamais survenues dans l'écosystème JavaScript.

Selon leur déclaration sur X, la plateforme d'échange a confirmé qu'elle avait échappé indemne à une violation ciblant des packages Node.js largement utilisés, impliqués dans plus de 2 milliards de téléchargements d'applications par semaine.

«Nous sommes au courant de la récente attaque sur la chaîne d'approvisionnement, qui a publié des versions malveillantes de plusieurs packages JavaScript largement utilisés», a déclaré l'entreprise. «Après enquête, nous avons confirmé que nous n'avons pas été impactés et qu'aucune donnée ou actif client n'est en danger.»

Le co-fondateur de la plateforme d'échange a remarké sur les réseaux sociaux : “Même les logiciels open-source ne sont pas sûrs de nos jours. Web3 redéfinira la sécurité pour Web2. Nous sommes encore au début.” Cette déclaration semble quelque peu intéressée - positionnant Web3 comme une solution alors que sa propre plateforme repose fortement sur l'infrastructure web traditionnelle.

Les Mécaniques d'Attaque

L'attaque, survenue le 8 septembre, a impliqué des hackers compromettant le compte du mainteneur open-source de confiance “qix” (Josh Junon) par le biais de phishing sophistiqué. Les attaquants ont envoyé un e-mail se faisant passer pour des communications officielles de npmjs, avertissant Junon que son compte serait verrouillé à moins qu'il ne mette à jour immédiatement ses identifiants d'authentification à deux facteurs.

Junon a admis être tombé victime du schéma après qu'un autre mainteneur a découvert que son compte NPM “publiait des paquets avec des portes dérobées.” Cela a permis aux attaquants de détourner son compte et de pousser des mises à jour malveillantes vers 18 bibliothèques Node.js populaires, y compris chalk, debug, ansi-styles et strip-ansi - des composants intégrés sur le web.

Malware de ciblage crypto

L'analyse d'Aikido Security a révélé que les attaquants avaient injecté un code qui fonctionnait comme des intercepteurs basés sur le navigateur. Ce code malveillant surveillait les adresses de portefeuille et les transactions sur les principales cryptomonnaies, y compris Bitcoin, Ethereum, Solana, Tron, Litecoin et Bitcoin Cash. Lorsqu'il était détecté, le logiciel malveillant remplaçait silencieusement les adresses de portefeuille de destination par celles contrôlées par les attaquants.

Le directeur technique du fabricant de portefeuilles matériels Ledger a noté que le code malveillant s'était propagé dans des paquets avec plus d'un milliard de téléchargements - une portée stupéfiante qui aurait pu dévaster les utilisateurs de crypto-monnaies dans le monde entier.

Surprisingly, la firme d'analyse blockchain Arkham Intelligence a rapporté que seulement $159 de cryptomonnaie avait été volé jusqu'à lundi. Cependant, les chercheurs mettent en garde que ce faible chiffre ne représente pas un potentiel de dommages limités, étant donné les milliards de téléchargements associés aux paquets compromis.

Bien que cette plateforme d'échange particulière prétende s'en être sortie indemne, l'incident met en évidence la fragilité de l'infrastructure de sécurité de l'écosystème des cryptomonnaies. Les utilisateurs devraient se demander si les plateformes d'échange sont pleinement transparentes quant à leur exposition à de telles vulnérabilités répandues, surtout lorsque des milliards d'actifs sont en jeu.