Une attaque de la chaîne d’approvisionnement frappe actuellement l’écosystème JavaScript. En compromettant le compte d’un développeur reconnu, des attaquants ont injecté un malware dans plusieurs modules NPM très utilisés. Ce logiciel malveillant peut modifier en temps réel les adresses de réception lors des transactions en cryptomonnaies.
Points clés à retenir
- Un développeur réputé de l’écosystème NPM a vu son compte compromis.
- Plusieurs bibliothèques populaires comme chalk et strip-ansi ont été infectées.
- Le malware agit comme un crypto-clipper, remplaçant les adresses de réception crypto.
- L’attaque aurait pu avoir un impact majeur, mais les pertes réelles sont limitées à environ 500 dollars.
- SwissBorg a parallèlement annoncé une perte de 193 000 SOL (≈ 41 M$) suite à une faille distincte.
Un malware injecté dans des modules NPM
L’attaque repose sur une compromission du compte « qix », développeur et mainteneur de nombreuses bibliothèques JavaScript. Des versions malveillantes de packages tels que chalk, color-convert, error-ex ou encore is-core-module ont été publiées.
Avec plusieurs centaines de millions de téléchargements cumulés chaque semaine, ces bibliothèques sont intégrées dans des milliers de projets Node.js, exposant ainsi un large éventail de sites et d’applications.
Le logiciel malveillant agit comme un crypto-clipper sophistiqué :
- il intercepte les transactions,
- identifie les adresses Bitcoin, Ethereum, Solana, etc.,
- puis les remplace par celles de l’attaquant.
L’attaque cible aussi bien l’affichage des sites web que les réponses d’API et les signatures de transactions, ce qui la rend particulièrement dangereuse pour les utilisateurs de portefeuilles logiciels.
Des dégâts finalement limités
Malgré le potentiel de propagation massif, les pertes constatées restent minimes. Selon les données d’Arkham, les attaquants n’auraient réussi à dérober qu’environ 500 dollars.
Les erreurs commises lors de l’attaque ont permis une détection rapide et ont limité son efficacité.
Mesures de protection recommandées
Les experts en cybersécurité rappellent plusieurs précautions :
- Utiliser un hardware wallet (Ledger, Trezor) et vérifier attentivement l’adresse affichée sur l’appareil avant de signer.
- Éviter temporairement les transactions on-chain avec un portefeuille logiciel jusqu’à stabilisation de la situation.
- Rester vigilant face aux attaques de la chaîne d’approvisionnement, considérées comme l’un des vecteurs les plus dangereux.
En parallèle : SwissBorg touché par une faille distincte
Dans le même temps, la plateforme d’échange SwissBorg a confirmé une perte de 193 000 SOL, liée à une faille de son partenaire Kiln. Bien que l’incident concerne moins de 1 % des utilisateurs, le montant équivaut à environ 41 millions de dollars.
SwissBorg a immédiatement compensé les pertes grâce à sa trésorerie et affirme que son application reste sécurisée. Les utilisateurs impactés seront contactés individuellement.
