Le 8 septembre, Charles Guillemet, directeur de la technologie chez Ledger, a mis en garde contre une attaque active de la chaîne d'approvisionnement qui pourrait potentiellement affecter l'ensemble de l'écosystème JavaScript. Dans un post sur X, il a révélé que le compte Node Package Manager (NPM) d'un développeur réputé avait été compromis. L'attaquant a introduit un code malveillant dans des paquets ayant fait l'objet de plus d'un milliard de téléchargements, ce qui a suscité l'inquiétude de la communauté cryptographique.
Le code injecté était conçu pour échanger silencieusement les adresses des portefeuilles de crypto-monnaie lors des transactions. En pratique, cela signifiait que des utilisateurs peu méfiants pouvaient envoyer des fonds directement à l'adresse d'un attaquant sans s'en rendre compte.
M. Guillemet a souligné que les portefeuilles matériels restaient sûrs, à condition que les utilisateurs vérifient chaque transaction avant de la signer. Il a conseillé à tous les autres utilisateurs de suspendre leur activité onchain jusqu'à ce que la situation devienne plus claire.
Premières inquiétudes dans l'ensemble de l'écosystème
La nouvelle a immédiatement suscité des inquiétudes dans le secteur de la cryptographie, où de nombreuses applications décentralisées reposent sur des paquets JavaScript open-source. Une dépendance compromise pourrait exposer les utilisateurs sur Ethereum, Solana et d'autres chaînes.
Plusieurs projets, dont Marinade, Solflare, Step Finance, Jupiter, Drift et Phantom, ont rapidement publié des déclarations confirmant que leurs systèmes n'avaient pas été affectés.
Malgré ces assurances, l'ampleur de l'exposition potentielle était considérable. Les paquets de NPM sont à la base de nombreuses applications largement utilisées, et une violation de cette nature a mis en évidence la fragilité de la sécurité de la chaîne d'approvisionnement dans le domaine du développement de logiciels.
Mécanismes et intentions de l'attaque
Dans un billet de suivi publié le 9 septembre, M. Guillemet a donné plus de détails. Les attaquants ont obtenu l'accès par le biais d'une campagne d'hameçonnage par courriel en se faisant passer pour le service d'assistance de NPM. En utilisant un faux domaine, ils ont volé les informations d'identification des développeurs et publié des mises à jour malveillantes pour des paquets largement utilisés. Le code injecté tentait d'intercepter l'activité cryptographique sur le web, en s'introduisant dans les réponses du réseau et en remplaçant les adresses des portefeuilles.
Toutefois, des erreurs de mise en œuvre ont compromis l'efficacité de l'attaque. Le code malveillant a provoqué l'arrêt de l'intégration continue et des pipelines de déploiement, alertant les développeurs et les équipes de sécurité plus tôt que les attaquants ne l'avaient probablement prévu. Cette perturbation a limité la portée de l'attaque et réduit le nombre de vols réussis.
Des dommages financiers minimes
L'analyse de la blockchain suggère que les attaquants ont volé un montant minime. Le chercheur @4484, qui a regroupé les portefeuilles liés à l'incident survenu à Arkham sous le nom d'"attaque NPM", n'a trouvé que 503,59 dollars de fonds volés. Quelques heures plus tôt, ce chiffre s'élevait à 66 dollars, ce qui montre que le total a pu augmenter progressivement, mais reste négligeable par rapport à l'ampleur potentielle de la compromission.
Le pseudonyme du fondateur de DefiLlama, 0xngmi, a expliqué pourquoi l'impact était limité. Le code malveillant pouvait modifier les transactions sur les sites web utilisant des dépendances compromises, par exemple en remplaçant les adresses de destination. Cependant, les utilisateurs devaient toujours approuver manuellement ces transactions modifiées dans leur portefeuille, ce qui empêchait le drainage automatique des fonds.
Security Alliance, un collectif de sécurité, a qualifié le résultat de "chanceux", notant que si les attaquants avaient exécuté la charge utile plus efficacement, les dommages potentiels auraient pu être immenses.
Une échappée belle
L'attaque de septembre contre la chaîne d'approvisionnement des MNP est à la fois un avertissement et un rappel. Les pertes réelles ont été faibles, mais l'ampleur de l'exposition potentielle était considérable. Avec plus d'un milliard de téléchargements des paquets concernés, l'incident a montré comment un compte compromis peut avoir un effet d'entraînement sur l'ensemble de l'écosystème.
Les utilisateurs et les développeurs de cryptomonnaies sont confrontés à un paysage de menaces en constante évolution. Si les portefeuilles matériels et la vérification des transactions restent des défenses fiables, les attaquants continueront à sonder les faiblesses des chaînes d'approvisionnement en logiciels. Le dernier épisode en date s'est peut-être terminésans faire de victimes, mais le prochain pourrait être bien plus dommageable.
En savoir plus sur SolanaFloor
L'essentiel de la sécurité cryptographique
Pensez-vous que Solana a un problème de perception ?