Le 8 septembre, le monde de la crypto a été ébranlé par une nouvelle qui a fait rapidement le tour des médias spécialisés. Des morceaux de code téléchargés des milliards de fois sur la plateforme « npm » auraient été modifiés dans le but de subtiliser des cryptomonnaies. La panique na duré cependant que quelques heures et le casse ne s’est visiblement pas déroulé comme prévu.

Pour saisir tous les tenants et aboutissants de cette affaire, il faut comprendre l’importance de la plateforme npm dans l’écosystème de la cryptomonnaie et le monde de la programmation en général.

Sur ce site, développeurs et professionnels de l’informatique partagent des morceaux de code, principalement en JavaScript et avec Node.js, que chacun peut intégrer directement à ses projets. npm constitue ainsi une immense librairie numérique où l’on trouve, comme dans toute librairie, des best-sellers et quelques figures incontournables.

Parmi elles, on retrouve Qix, un développeur très populaire sur la plateforme, auteur de paquets téléchargés des millions de fois chaque semaine.

Alors, lorsque le 8 septembre, l’écosystème découvre que Qix s’est fait voler ses identifiants npm à la suite d’une campagne de phishing, l’alerte est donnée. Des pirates auraient introduit dans de nombreux paquets de Qix un malware. Si un projet intégrait une version infectée de ce code, des cryptomonnaies pourraient être détournées à l’insu de leurs propriétaires.

Certains évoquent, à cet instant, la plus grande supply chain attack — une attaque sur la chaîne logistique — de l’histoire de npm.

bitdefender-logo
BIT BOX 3
Vos données méritent d’être mieux protégées.
Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez votre vie privée et vos données personnelles avec Bitdefender et profitez de votre vie numérique en toute sérénité.
Voici comment protéger ma vie privée
https://twitter.com/cyb3rops/status/1965113516190552441

Une préparation minutieuse

L’intrusion s’est opérée par une campagne dite de « spear phishing », comprenez de l’hameçonnage extrêmement ciblé — comme un harpon visant une cible bien précise, en somme.

Selon les équipes de recherche de Security Alliance, l’attaquant (ou le groupe d’attaquants, rien ne prouve qu’il ait agi seul) a adressé à Qix un mail qui ressemblait à s’y méprendre à une alerte officielle de sécurité npm.

Ce message invitait à cliquer sur un lien menant vers un site factice, soigneusement conçu pour imiter l’interface de la plateforme.

Un stratagème qui a permis de dérober à Qix son mot de passe et son code d’authentification à deux facteurs, offrant ainsi aux assaillants un accès total à son compte npm.

Dès lors, ils ont publié, en quelques minutes, des versions frauduleuses de plusieurs de ses paquets phares, notamment « chalk » et « debug ».

Le malware inséré était pensé pour détourner des transactions de cryptomonnaie. Lors de l’exécution sur navigateur, il intercepte et modifie les transactions signées, remplaçant systématiquement l’adresse de destinataire vers le portefeuille des pirates.

Les assaillants semblaient avoir toutes les cartes en main pour réaliser un vol d’une ampleur inédite. Pourtant, la réactivité de la communauté open source a été exemplaire. La compromission a été détectée et signalée très rapidement sur GitHub, permettant de stopper l’attaque avant qu’elle ne fasse de réels dégâts.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Gérer mes choix

Une attaque ratée

Qix lui-même a activement participé à la riposte, informant régulièrement la communauté des avancées et rebondissements de l’affaire sur GitHub.

Selon un article de blog publié par la société de cybersécurité Snyk, les paquets malveillants ont été identifiés et retirés du registre npm, et les versions saines restaurées en moins de cinq heures après la détection initiale.

Security Alliance estime que le butin des attaquants s’est avéré dérisoire. À peine cinq centimes d’ETH et l’équivalent de vingt dollars en memecoin auraient été détournés.

La vigilance reste cependant de mise. De nombreux utilisateurs continuent d’échanger recommandations et astuces pour vérifier que le malware n’a pas infiltré leur environnement de travail ou systèmes de production.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !