Attaque de la chaîne d’approvisionnement JavaScript
Une attaque majeure de la chaîne d’approvisionnement JavaScript a compromis des centaines de paquets logiciels, dont au moins dix largement utilisés dans l’écosystème de la cryptomonnaie, selon de nouvelles recherches menées par la société de cybersécurité Aikido Security.
Découverte de l’infection
Dans un post publié lundi, Charlie Eriksen, chercheur chez Aikido Security, a partagé les noms de plus de 400 paquets montrant des signes d’infection par le malware auto-répliquant « Shai Hulud », utilisé dans une attaque en cours ciblant les bibliothèques JavaScript NPM. Eriksen a validé chaque détection afin d’éviter les faux positifs.
De nombreux paquets liés aux cryptomonnaies concernés reçoivent des dizaines de milliers de téléchargements par semaine et dépendent d’autres paquets pour fonctionner. Dans un post sur X, Eriksen a également averti l’équipe d’Ethereum Name Service (ENS) que plusieurs de leurs paquets étaient affectés.
Nature de l’attaque
Shai Hulud s’inscrit dans une tendance plus large d’attaques de la chaîne d’approvisionnement. Début septembre, la plus grande attaque NPM signalée à ce jour a permis à des hackers de voler 50 millions de dollars en cryptomonnaies. Amazon Web Services a noté que cette première attaque a été suivie par la propagation autonome du ver Shai Hulud, survenue juste une semaine plus tard.
Alors que l’attaque précédente ciblait directement la cryptomonnaie pour voler des actifs, Shai Hulud est un malware généraliste de vol de données d’identification qui se propage de manière autonome à travers l’infrastructure des développeurs. Si l’environnement infecté contient des clés de portefeuille, le malware les volera comme des « secrets », tout comme n’importe quelle autre donnée d’identification.
Paquets affectés
Parmi tous les paquets touchés, au moins dix étaient spécifiquement liés à l’industrie de la cryptomonnaie, presque tous étant associés à l’ENS, un service de nom d’adresse lisible par l’homme. Parmi les paquets affectés figurent :
- content-hash d’ENS : près de 36 000 téléchargements hebdomadaires, avec 91 paquets logiciels qui en dépendent.
- address-encoder : plus de 37 500 téléchargements hebdomadaires.
- ensjs : plus de 30 000 téléchargements hebdomadaires.
- ens-validation : 1 750 téléchargements hebdomadaires.
- ethereum-ens : 12 650 téléchargements hebdomadaires.
- ens-contracts : près de 3 100 téléchargements hebdomadaires.
- crypto-addr-codec : presque 35 000 téléchargements, non associé à l’ENS.
Impact sur d’autres paquets
Les paquets non liés à la cryptomonnaie touchés incluent certains offerts par la plateforme d’automatisation d’entreprise Zapier, dont un avec plus de 40 000 téléchargements par semaine, ainsi que d’autres à des niveaux similaires.
« L’ampleur de cette nouvelle attaque Shai Hulud est franchement massive ; nous travaillons encore à travers la file d’attente pour tout confirmer, » a écrit Eriksen sur X. « Cela fera paraître l’attaque précédente comme une broutille. »
Les chercheurs de la société de cybersécurité Wiz affirment avoir « repéré plus de 25 000 dépôts affectés à travers environ 350 utilisateurs uniques, avec 1 000 nouveaux dépôts étant ajoutés de manière constante toutes les 30 minutes au cours des dernières heures. » La société recommande une enquête et une remédiation immédiates pour tout environnement utilisant npm.
