brève actu
Une attaque de phishing vise 20 packages npm ultra-populaires, totalisant 2,6 milliards de téléchargements. Du code malveillant ciblait les portefeuilles de cryptomonnaies.
En septembre 2025, une attaque de phishing a compromis 20 packages npm, un risque élévé en matière de cybersécurité. Cette attaque a ciblé un gestionnaire de packages npm, par le biais d’un email frauduleux demandant la mise à jour de ses identifiants de double authentification.
Ce type d’attaque, connu sous le nom de supply chain attack, affecte non seulement les développeurs mais aussi les utilisateurs finaux des logiciels compromis. L’ampleur de l’attaque souligne la nécessité de renforcer les mesures de sécurité des comptes et de sensibiliser davantage aux techniques de phishing sophistiquées.
Qu’est-ce que npm ?
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
npm (Node Package Manager) est le gestionnaire de paquets officiel de Node.js, un environnement d’exécution JavaScript utilisé pour créer des applications côté serveur. Contrairement au JavaScript classique exécuté dans un navigateur, Node.js permet d’exécuter du code JavaScript directement sur un serveur, ce qui le rend idéal pour développer des API, des services web ou des outils de ligne de commande.
npm facilite le travail des développeurs en leur permettant de partager, installer et gérer facilement des modules JavaScript réutilisables. Grâce à sa bibliothèque de millions de packages open source, il accélère le développement d’applications modernes. Mais cette centralisation en fait aussi une cible critique : compromettre un package populaire dans npm peut avoir des conséquences en cascade sur des milliers de projets et d’utilisateurs.
La mécanique de l’attaque et ses implications
L’attaque a commencé par un email de phishing soigneusement orchestré, envoyé depuis un domaine qui semblait légitime, npmjs[.]help. Ce domaine a été configuré pour passer les vérifications de sécurité courantes comme SPF, DKIM et DMARC, rendant l’email difficile à détecter comme frauduleux.
Selon The Hacker News, l’email a utilisé un contenu généré par intelligence artificielle, ce qui lui a donné un aspect professionnel et exempt d’erreurs typiques des campagnes de phishing. Cette approche a permis aux attaquants de tromper les défenses traditionnelles basées sur des règles et de compromettre les comptes de développeurs. Les packages npm touchés par cette attaque ont été téléchargés plus de 2,67 milliards de fois en une semaine, illustrant l’impact potentiel de telles attaques sur la chaîne logistique du logiciel.
Les conséquences de cette attaque se sont étendues au-delà de la compromission initiale des comptes. Une fois que les attaquants ont obtenu l’accès, ils ont injecté du code malveillant dans les packages npm, conçu pour intercepter les transactions de portefeuilles de cryptomonnaies sur plusieurs réseaux blockchain, y compris Ethereum et Bitcoin. Ce code, connu sous le nom de « Crypto Malware Stealer« , agit en interceptant les transactions au niveau du navigateur, modifiant les adresses de destination pour diriger les fonds vers des portefeuilles contrôlés par les attaquants. Comme le détaille Varonis, cette technique repose sur une manipulation subtile des adresses, utilisant des algorithmes pour que les modifications passent inaperçues des utilisateurs. Les victimes peuvent ainsi, sans le savoir, autoriser des transactions frauduleuses.
Le succès de cette attaque met en évidence l’efficacité des campagnes de phishing bien préparées. Les attaquants ont non seulement utilisé une infrastructure email propre, mais ont également exploité l’intelligence artificielle pour créer un contenu convaincant. Cette approche a permis de contourner les systèmes de détection traditionnels, qui reposent souvent sur des indicateurs tels que les fautes d’orthographe ou les adresses IP suspectes. Comme le montre cette attaque, il est crucial pour les entreprises et les développeurs de mettre en œuvre des méthodes de détection plus avancées, intégrant des analyses contextuelles et linguistiques. Cela inclut la surveillance des relations entre les entités et l’analyse des modèles de communication pour identifier les anomalies qui pourraient indiquer un phishing. Face à l’évolution des techniques des attaquants, il est essentiel de développer des stratégies de défense qui s’appuient également sur l’IA pour détecter et contrer ces menaces sophistiquées.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
