top of page
Rechercher

La plus grande attaque de supply chain de l'histoire JavaScript

  • Photo du rédacteur: Loïc Castel
    Loïc Castel
  • 9 sept.
  • 4 min de lecture

Version du document : 1.0

Date initiale de publication : 9 septembre 2025

Auteur : Loïc Castel

Sommaire :


Introduction et résumé des faits

Le 8 septembre 2025, l'écosystème JavaScript a été touché par ce qui constitue la plus grande attaque de supply chain de son histoire. Un maintainer reconnu sous le pseudonyme "qix" a été victime d'une campagne de phishing sophistiquée, permettant aux attaquants de compromettre 18 paquets NPM ultra-populaires.


Parmi les paquets compromis figurent des librairies fondamentales comme chalk (300 millions de téléchargements par semaine), debug (357,6 millions), strip-ansi (261 millions), et color-convert (193 millions). Au total, ces paquets cumulent plus de 2,6 milliards de téléchargements hebdomadaires, touchant potentiellement des millions de projets à travers le monde.

La liste complète est disponible sur le blog d’aikido, la société qui a remonté l’information le plus rapidement :


La particularité de cette attaque réside dans son ciblage spécifique : contrairement aux attaques classiques visant les environnements de développement, le malware injecté cible directement les transactions de cryptomonnaies effectuées depuis les navigateurs, transformant des outils de développement en crypto-stealer sophistiqués.

Source : github.com
Source : github.com

Timeline de l'attaque

  • 8 septembre 2025, à 13h16 UTC (T) : Début de la publication des paquets malveillants

  • T+10 minutes : L'attaque est identifiée par les systèmes de surveillance automatisés 

  • T+1 heure : Émission de l’alerte

  • T+2 heures : Durée totale de disponibilité des versions compromises

  • 8 septembre 2025, à 22h19 UTC : Purge des caches de build par les plateformes comme Vercel (https://vercel.com/blog/critical-npm-supply-chain-attack-response-september-8-2025)


Impacts pour les utilisateurs et cibles de cette campagne

Risques encourus par les utilisateurs finaux

Les utilisateurs de wallets crypto basés navigateur (MetaMask, Phantom, Trust Wallet) constituent les principales victimes de cette attaque. Le malware agit comme un crypto-clipper évolué qui :


  • Intercepte les interactions Web3 en temps réel

  • Substitue les adresses de destination par des wallets contrôlés par les attaquants

  • Manipule les transactions avant signature, rendant la fraude invisible

  • Cible plusieurs blockchains : Ethereum, Bitcoin, Solana, Tron, Litecoin et Bitcoin Cash


Vecteur d'infection : Phishing ciblé

L'attaque a débuté par une campagne de phishing sophistiquée ciblant les maintainers NPM. Les attaquants ont :


  • Créé le domaine npmjs[.]help trois jours avant l'attaque

  • Envoyé des emails depuis support@npmjs[.]help mimant le support officiel

  • Menacé de verrouillage des comptes avant le 10 septembre 2025

  • Utilisé des pages de phishing hébergées sur BunnyCDN pour voler les identifiants 2FA


Analyse technique du payload malveillant

Le code injecté utilise une double stratégie d'attaque :


Attaque passive : Remplacement d'adresses intelligent

Le malware "monkey-patch" les fonctions fetch et XMLHttpRequest du navigateur pour intercepter tous les flux de données. Il utilise un algorithme de distance de Levenshtein pour sélectionner, parmi ses listes d'adresses prédéfinies, celle qui ressemble le plus visuellement à l'adresse légitime de l'utilisateur. Cette technique rend la substitution pratiquement indétectable à l'œil nu.

Source : Github.com - Extrait du code malveillant inhecté
Source : Github.com - Extrait du code malveillant inhecté

Attaque active : Vol de transactions

Lorsqu'un wallet crypto est détecté, le malware intercepte les méthodes de communication (request, send) avant l'envoi vers le wallet pour signature. Il modifie directement les données de transaction en mémoire, remplaçant l'adresse du destinataire par une adresse contrôlée par l'attaquant : 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976.



Dommages réels de l'attaque

Paradoxalement, malgré l'ampleur théorique de cette attaque, les dommages financiers ont été limités à moins de 50 dollars. Selon Security Alliance, seule l'adresse Ethereum 0xFc4a48... a reçu des fonds volés. Cette faible rentabilité s'explique par :


  • La détection rapide de l'attaque (5 minutes)

  • La réaction immédiate de la communauté pour retirer les paquets malveillants

  • Le timing défavorable (weekend, faible activité crypto)

  • La surveillance active des adresses blockchain par les chercheurs en sécurité


Recommandations de sécurité

En cas de détection avérée, Safercy recommande chaudement de contacter une entreprise spécialisée en réponse à incident afin de valider les impacts de l'attaque.


Pour les développeurs

  • Audit immédiat des dépendances : Vérifier la présence des versions compromises dans vos projets à travers la commande suivante par exemple : 

npm audit

  • Utilisation des overrides NPM : Forcer des versions sûres dans votre package.json

  • Reconstruction complète : Supprimer node_modules et package-lock.json, puis réinstalles


Pour les utilisateurs de cryptomonnaies

  • Hardware wallets recommandés : Privilégier des dispositifs avec écran sécurisé supportant le Clear Signing

  • Vérification systématique : Toujours contrôler les adresses de destination avant signature

  • Éviter le blind signing : Ne jamais signer de transactions sans vérification complète

  • Mise à jour des navigateurs et extensions : Maintenir les wallets logiciels à jour


Pour les entreprises

  • Monitoring des supply chains : Implémenter des outils de surveillance automatisés (SaferFind permet ce type de supervision)

  • Environnements CI/CD sécurisés : Utiliser des runners isolés et contrôlés

  • Politique de dépendances : Figer les versions critiques et auditer les mises à jour

  • Formation des équipes : Sensibiliser aux techniques de phishing ciblant les développeurs (Safercy peut également vous accompagner à travers des ateliers et formations)


Besoin d'aide pour sécuriser votre infrastructure ?

Cette attaque démontre la criticité de la sécurité des supply chains dans l'écosystème de développement moderne. Les conséquences auraient pu être catastrophiques sans la détection rapide et la réaction coordonnée de la communauté sécurité.


Safercy accompagne les entreprises dans la sécurisation de leurs chaînes d'approvisionnement logicielles et dans la réponse aux incidents de sécurité. Notre équipe d'experts en cybersécurité peut vous aider à :


  • Auditer vos dépendances et identifier les risques

  • Implémenter des solutions de monitoring en temps réel

  • Former vos équipes aux bonnes pratiques de sécurité

  • Répondre rapidement en cas d'incident de sécurité



Face à l'évolution constante des menaces, la préparation et l'expertise font la différence entre une crise maîtrisée et un désastre.



Indicateurs de compromission

Type

Valeur

Domaine

npmjs[.]help


Sources

 
 
bottom of page