Phishing : 20 packages npm compromis, 2,6 milliards de téléchargements exposés

brève actu

Une attaque de phishing vise 20 packages npm ultra-populaires, totalisant 2,6 milliards de téléchargements. Du code malveillant ciblait les portefeuilles de cryptomonnaies.

En septembre 2025, une attaque de phishing a compromis 20 packages npm, un risque élévé en matière de cybersécurité. Cette attaque a ciblé un gestionnaire de packages npm, par le biais d’un email frauduleux demandant la mise à jour de ses identifiants de double authentification.

Ce type d’attaque, connu sous le nom de supply chain attack, affecte non seulement les développeurs mais aussi les utilisateurs finaux des logiciels compromis. L’ampleur de l’attaque souligne la nécessité de renforcer les mesures de sécurité des comptes et de sensibiliser davantage aux techniques de phishing sophistiquées.

La mécanique de l’attaque et ses implications

L’attaque a commencé par un email de phishing soigneusement orchestré, envoyé depuis un domaine qui semblait légitime, npmjs[.]help. Ce domaine a été configuré pour passer les vérifications de sécurité courantes comme SPF, DKIM et DMARC, rendant l’email difficile à détecter comme frauduleux.

Selon The Hacker News, l’email a utilisé un contenu généré par intelligence artificielle, ce qui lui a donné un aspect professionnel et exempt d’erreurs typiques des campagnes de phishing. Cette approche a permis aux attaquants de tromper les défenses traditionnelles basées sur des règles et de compromettre les comptes de développeurs. Les packages npm touchés par cette attaque ont été téléchargés plus de 2,67 milliards de fois en une semaine, illustrant l’impact potentiel de telles attaques sur la chaîne logistique du logiciel.

Les conséquences de cette attaque se sont étendues au-delà de la compromission initiale des comptes. Une fois que les attaquants ont obtenu l’accès, ils ont injecté du code malveillant dans les packages npm, conçu pour intercepter les transactions de portefeuilles de cryptomonnaies sur plusieurs réseaux blockchain, y compris Ethereum et Bitcoin. Ce code, connu sous le nom de « Crypto Malware Stealer« , agit en interceptant les transactions au niveau du navigateur, modifiant les adresses de destination pour diriger les fonds vers des portefeuilles contrôlés par les attaquants. Comme le détaille Varonis, cette technique repose sur une manipulation subtile des adresses, utilisant des algorithmes pour que les modifications passent inaperçues des utilisateurs. Les victimes peuvent ainsi, sans le savoir, autoriser des transactions frauduleuses.

Le succès de cette attaque met en évidence l’efficacité des campagnes de phishing bien préparées. Les attaquants ont non seulement utilisé une infrastructure email propre, mais ont également exploité l’intelligence artificielle pour créer un contenu convaincant. Cette approche a permis de contourner les systèmes de détection traditionnels, qui reposent souvent sur des indicateurs tels que les fautes d’orthographe ou les adresses IP suspectes. Comme le montre cette attaque, il est crucial pour les entreprises et les développeurs de mettre en œuvre des méthodes de détection plus avancées, intégrant des analyses contextuelles et linguistiques. Cela inclut la surveillance des relations entre les entités et l’analyse des modèles de communication pour identifier les anomalies qui pourraient indiquer un phishing. Face à l’évolution des techniques des attaquants, il est essentiel de développer des stratégies de défense qui s’appuient également sur l’IA pour détecter et contrer ces menaces sophistiquées.