- L’infection inclut au moins 10 grands forfaits crypto liés à l’écosystème ENS.
- Une précédente attaque NPM début septembre avait entraîné 50 millions de dollars de cryptomonnaies volées.
- Les chercheurs ont trouvé plus de 25 000 dépôts affectés au cours de l’étude.
Une nouvelle vague d’infections NPM a suscité des inquiétudes au sein de la communauté JavaScript, alors que le malware Shai Hulud continue de se propager dans des centaines de bibliothèques logicielles.
Aikido Security a confirmé que plus de 400 packages NPM ont été compromis, dont au moins 10 largement utilisés dans l’écosystème crypto.
L’ampleur de la question met immédiatement les développeurs sous pression pour évaluer les risques, en particulier ceux qui travaillent avec des outils et applications blockchain.
Cette révélation est intervenue lundi lorsque Aikido Security a publié une liste détaillée des bibliothèques contaminées à la suite d’un examen des comportements inhabituels sur NPM.
Un autre article du chercheur Charles Eriksen a également mis en avant la liste des infections sur X, attirant l’attention sur les principaux paquets ENS impliqués dans l’incident.
Les infections semblent liées à une attaque active de la chaîne d’approvisionnement qui s’est déroulée ces dernières semaines, ajoutant un élan à un schéma d’escalade des incidents de sécurité au sein de l’infrastructure JavaScript.
La menace s’étend au-delà des attaques antérieures des MNP
Cette flambée d’infections fait suite à une importante violation du NPM début septembre. Cette affaire précédente s’est terminée par des attaquants volant pour 50 millions de dollars de cryptomonnaies, ce qui en fait l’un des plus grands incidents de la chaîne d’approvisionnement directement liés au vol d’actifs numériques.
Selon Amazon Web Services , l’attaque a été suivie en moins d’une semaine par l’apparition de Shai Hulud, qui a commencé à se propager de manière autonome entre les projets.
Alors que l’incident initial de septembre visait directement les crypto-actifs, Shai Hulud agit différemment. Il se concentre sur la collecte d’identifiants depuis tout environnement qui télécharge un package infecté. Si les clés de portefeuille sont présentes, elles sont traitées comme n’importe quel autre secret et extraites.
Ce changement de comportement rend le nouvel incident plus vaste.
Au lieu de viser un objectif unique, le malware s’intègre dans les flux de travail des développeurs et traverse des chaînes de dépendances, augmentant le risque d’exposition accidentelle aussi bien dans les projets crypto que non crypto.
Les paquets ENS sont fortement affectés
Les packages crypto concernés dans la dernière revue montrent une concentration claire autour de l’écosystème Ethereum Name Service. Plusieurs bibliothèques liées à l’ENS, dont beaucoup comptent des dizaines de milliers de téléchargements hebdomadaires, figurent sur la liste compromise.
Cela inclut content-hash, encodeur d’adresse, ensjs, ens-validation, ethereum-ens et ens-contracts.
Pour étayer ces conclusions, Eriksen a partagé un article détaillé détaillé décrivant les paquets ENS compromis. Peu après, une seconde mise à jour X d’Eriksen a étendu la propagation plus large des infections affectant d’autres dépôts.
Chaque package ENS prend en charge les fonctions utilisées à travers les interfaces de portefeuille, les applications blockchain et les outils qui convertissent des noms lisibles par l’humain en formats lisibles par machine.
Leur popularité signifie que l’impact peut dépasser les mainteneurs directs jusqu’aux développeurs en aval qui dépendent d’eux pour leurs opérations principales.
Une bibliothèque cryptographique distincte, crypto-addr-codec, a également été identifiée parmi les paquets compromis. Bien qu’il n’ait aucun lien avec l’ENS, il est utilisé dans les processus liés au portefeuille et génère un trafic hebdomadaire élevé, faisant de sa contamination une autre priorité pour les contrôles de sécurité.
Impact croissant sur les logiciels non crypto
L’écart ne se limite pas aux outils d’actifs numériques. Plusieurs bibliothèques non cryptographiques ont également été impactées, y compris des packages associés à la plateforme d’automatisation des flux de travail Zapier .
Certains d’entre eux rapportent des téléchargements hebdomadaires bien supérieurs à quarante mille, indiquant que le malware a atteint des parties de l’écosystème JavaScript sans lien avec l’activité blockchain.
D’autres bibliothèques mises en avant dans des articles ultérieurs montrent des niveaux de distribution encore plus élevés. Un paquet semblait proche de soixante-dix mille téléchargements hebdomadaires.
Un autre a enregistré un trafic hebdomadaire supérieur à un million et demi, ce qui reflète une empreinte bien plus large que ce que laissaient entendre les premiers rapports.
Cette expansion rapide a attiré l’attention d’autres équipes de sécurité. Les chercheurs de Wiz ont déclaré avoir identifié plus de vingt-cinq mille dépôts affectés liés à environ trois cent cinquante utilisateurs.
Ils ont également noté qu’un millier de nouveaux dépôts étaient ajoutés toutes les trente minutes aux premiers stades de l’enquête.
Ce niveau de croissance démontre à quelle vitesse la contamination de la chaîne d’approvisionnement peut s’accélérer lorsque les paquets se répliquent à travers les réseaux de dépendances.
Les développeurs travaillant avec NPM ont été invités à effectuer des vérifications immédiates, à valider les environnements et à scanner pour détecter une éventuelle exposition.
Avec des chaînes de dépendances interconnectées à travers plusieurs secteurs, même des équipes extérieures au secteur crypto pourraient intégrer sans le savoir des packages infectés.
