Une nouvelle cyberattaque vole des cryptomonnaies aux utilisateurs lors de l’envoi de transactions, et de nombreux experts la qualifient de la plus grande attaque de la chaîne d’approvisionnement de l’histoire. Des pirates informatiques se sont introduits dans les comptes des mainteneurs de paquets npm en utilisant des e-mails de phishing. Ces e-mails semblaient provenir de “[email protected]“, imitant le véritable registre npm. Les messages disaient aux développeurs que leurs comptes seraient verrouillés à moins qu’ils ne mettent à jour leur authentification à deux facteurs. Lorsque les mainteneurs cliquaient sur le lien, les attaquants obtenaient leurs identifiants de connexion et plaçaient des logiciels malveillants à l’intérieur des paquets npm populaires.
Dix-huit bibliothèques JavaScript largement utilisées ont été compromises, notamment chalk, debug et ansi-styles. Ensemble, ces paquets sont téléchargés des milliards de fois chaque semaine et sont utilisés par des développeurs du monde entier. Cela signifie que l’ensemble de l’écosystème JavaScript a peut-être été exposé. BleepingComputer a rapporté que les attaquants ont injecté du code dans ces bibliothèques qui agissait comme un intercepteur basé sur un navigateur. Ce code surveillait le trafic réseau et recherchait des transactions cryptographiques sur Bitcoin, Ethereum, Solana, Tron, Litecoin et Bitcoin Cash. Lorsque quelqu’un envoyait un transfert, le logiciel malveillant remplaçait la véritable adresse du portefeuille par une adresse contrôlée par les pirates avant que la transaction ne soit signée.
Le chercheur en sécurité Charlie Eriksen a expliqué que le logiciel malveillant fonctionne de plusieurs manières. Il modifie ce qui est affiché sur les sites web, altère les appels API et trompe les applications en les amenant à signer des transactions que l’utilisateur n’avait pas l’intention de faire. Charles Guillemet, le CTO de Ledger, a averti que l’attaque est toujours active et a déclaré que les utilisateurs de cryptomonnaies devraient éviter d’effectuer des transactions on-chain s’ils n’utilisent que des portefeuilles logiciels. Les utilisateurs de portefeuilles matériels peuvent se protéger en vérifiant les détails avant de signer, mais toute personne qui n’en possède pas est confrontée à un risque plus élevé.
Les chercheurs ont également découvert que l’infrastructure de phishing envoyait les informations volées à “websocket-api2.publicvm.com”. Cela montre que l’attaque était bien coordonnée. Elle fait suite à d’autres incidents npm plus tôt cette année, dont un en mars qui a patché le paquet ethers avec un shell inversé et un autre en juillet qui a ciblé eslint-config-prettier. La campagne continue d’évoluer, et cette fois, les attaquants ont utilisé des contrats intelligents Ethereum d’une nouvelle manière. Deux paquets npm appelés colortoolsv2 et mimelib2 ont caché des commandes malveillantes à l’intérieur de contrats intelligents Ethereum. Une fois téléchargés, les paquets ont installé des logiciels malveillants de deuxième étape, ce qui a rendu leur détection plus difficile.
Les contrats intelligents Ethereum sont de petits programmes qui s’exécutent sur la blockchain. Ils sont publics et agissent comme des API ouvertes. Dans ce cas, les pirates les ont utilisés pour stocker des liens pour télécharger le logiciel malveillant, de sorte que même si quelqu’un vérifiait le paquet, il pourrait ne pas voir le code dangereux. Cette méthode créative de commande et de contrôle montre comment les acteurs de la menace s’adaptent pour éviter la détection.
Les attaquants ont également tenté de rendre leurs référentiels GitHub dignes de confiance. Ils ont créé de faux projets comme solana-trading-bot-v2 et ethereum-mev-bot-v2. Ceux-ci avaient de nombreuses étoiles, observateurs et commits, mais la plupart de cette activité était fausse. Des comptes ont été créés en même temps, souvent avec un seul fichier, et des commits automatisés ont gonflé les chiffres. Cette astuce d’ingénierie sociale a permis aux référentiels de sembler réels pour les développeurs qui pourraient inclure les paquets npm malveillants dans leur travail.
Les experts préviennent que les attaques de la chaîne d’approvisionnement sont particulièrement dangereuses car elles ciblent des outils de confiance. En cachant des logiciels malveillants à l’intérieur de bibliothèques open source, les pirates peuvent toucher des millions de développeurs et d’utilisateurs finaux à la fois. Rien que cette année, les chercheurs ont découvert plus de vingt campagnes sur npm, GitHub et PyPI visant à voler des cryptomonnaies. Certains ont utilisé des infostealers, d’autres ont déployé des mineurs de pièces et beaucoup se sont appuyés sur le phishing pour capturer des données sensibles.
Les indicateurs de compromission (IOC), tels que les domaines suspects, le code obfusqué et les référentiels factices, aident les équipes de sécurité à détecter ces menaces. Pourtant, de nombreux utilisateurs ne remarqueront rien tant que les fonds n’auront pas disparu. Pour l’instant, les développeurs doivent vérifier attentivement les paquets, les mainteneurs et le code avant de les utiliser. Les utilisateurs de cryptomonnaies devraient envisager des portefeuilles matériels et éviter de faire des transferts importants tant que la menace n’est pas maîtrisée. L’attaque montre à quelle vitesse la cybercriminalité évolue et combien il est important de sécuriser à la fois les chaînes d’approvisionnement de logiciels et les actifs numériques.
