20 paquets JavaScript npm populaires avec 2 milliards de téléchargements hebdomadaires compromis dans une attaque

La plus grande attaque de la chaîne d'approvisionnement de l'histoire ?

20 paquets JavaScript npm populaires avec 2 milliards de téléchargements hebdomadaires compromis dans une attaque, la plus grande attaque de la chaîne d’approvisionnement de l’histoire ?

Plus de 2 milliards de téléchargements hebdomadaires de 18 paquets npm compromis, notamment chalk, debug et strip-ansi, mettent en danger l'écosystème JavaScript. Le logiciel malveillant fonctionne comme un crypto clipper, échangeant les adresses de portefeuille pendant les transactions afin de rediriger les fonds vers les portefeuilles des attaquants. L'attaque a commencé lorsque le développeur « qix » a été victime d'un e-mail de phishing se faisant passer pour le support NPM, permettant aux pirates d'injecter du code malveillant. Les principaux protocoles tels que Uniswap, Jupiter et MetaMask ont assuré aux utilisateurs que leurs plateformes restaient sécurisées.

NPM est l'un des plus grands dépôts de packages JavaScript au monde, avec des millions de bibliothèques disponibles. Il permet aux développeurs de partager et de télécharger des modules pour réutiliser du code, simplifiant ainsi le développement d'applications en leur offrant un accès rapide à des fonctionnalités prêtes à l'emploi. Cependant, ce vaste dépôt est aussi devenu un terrain fertile pour les attaquants, qui peuvent y publier des packages malveillants se faisant passer pour des bibliothèques légitimes.

Depuis quelques années, les attaques de type "supply chain" ou chaîne d'approvisionnement sont devenues un sujet de préoccupation croissant pour les développeurs et les responsables de la sécurité informatique. En novembre 2024, une nouvelle vague de logiciels malveillants a ciblé le registre Node Package Manager (NPM), qui est largement utilisé dans l'écosystème JavaScript. Dans ce cadre, des centaines de bibliothèques (ou "packages" ont été publiées avec un seul objectif : infecter les machines des développeurs et propager des logiciels malveillants.

Une attaque majeure de la chaîne d'approvisionnement a frappé l'écosystème JavaScript le 8 septembre 2025, lorsque des pirates ont compromis 18 paquets Node.js populaires afin de voler des cryptomonnaies aux utilisateurs. L'attaque a touché des bibliothèques totalisant plus de 2 milliards de téléchargements hebdomadaires, ce qui en fait l'une des plus importantes attaques de la chaîne d'approvisionnement npm de l'histoire récente.


La brèche a commencé lorsqu'un développeur réputé, connu sous le nom de « qix », a reçu un e-mail de phishing se faisant passer pour le support officiel de NPM. Le développeur est tombé dans le piège de la fausse page de connexion, permettant aux attaquants de pirater son compte et de publier des mises à jour malveillantes sur des bibliothèques JavaScript largement utilisées. Les paquets compromis comprenaient des bibliothèques très connues telles que chalk, debug, ansi-styles et strip-ansi. Ces paquets constituent des dépendances essentielles dans d'innombrables applications web et projets cryptographiques à travers l'écosystème JavaScript.

Le logiciel malveillant fonctionne comme un crypto clipper, remplaçant silencieusement les adresses de portefeuilles de cryptomonnaies copiées par des adresses similaires contrôlées par les pirates. Le code malveillant utilise la logique de distance de Levenshtein pour créer des adresses similaires qui semblent légitimes aux utilisateurs. Lorsque les utilisateurs copient des adresses de portefeuille pour effectuer des transactions, le logiciel malveillant les remplace par des adresses contrôlées par les attaquants. Cette technique cible les utilisateurs de portefeuilles populaires tels que MetaMask et Phantom, ainsi que les applications financières décentralisées.

L'attaque visait spécifiquement à détourner les adresses de portefeuille lors de transactions cryptographiques. Les utilisateurs effectuant des transferts sans vérification minutieuse pouvaient, à leur insu, envoyer des fonds à une mauvaise destination. Malgré l'ampleur potentielle de l'attaque, les chercheurs qui ont suivi les portefeuilles attaqués n'ont trouvé que 497,96 dollars volés au moment du signalement. Le montant relativement faible du vol suggère soit une exploitation limitée, soit que les mesures de sécurité ont empêché des pertes plus importantes.

Charles Guillemet, directeur technique de Ledger, a mis en garde les utilisateurs contre cette attaque et a insisté sur la sécurité des portefeuilles matériels. Il a expliqué que les utilisateurs de portefeuilles matériels restent protégés s'ils vérifient les détails de la transaction sur leur appareil avant de signer. « Si vous utilisez un portefeuille matériel, prêtez attention à chaque transaction avant de signer et vous serez en sécurité », a conseillé Guillemet. Les portefeuilles matériels nécessitent une confirmation au niveau de l'appareil, ce qui empêche le changement d'adresse de passer inaperçu. Les utilisateurs ne disposant pas de portefeuille matériel ont été exposés à un risque plus élevé pendant la période de l'attaque. Guillemet a recommandé à ces utilisateurs d'éviter d'effectuer des transactions sur la chaîne jusqu'à ce que la menace soit maîtrisée.


Les principaux protocoles de cryptomonnaie ont rapidement réagi pour rassurer les utilisateurs sur leur sécurité. Uniswap, SUI et Jupiter ont confirmé qu'ils n'avaient pas été touchés par l'attaque, mais ont conseillé de rester vigilant. Les fournisseurs de portefeuilles populaires, notamment Ledger et MetaMask, ont assuré aux utilisateurs que leurs mesures de sécurité multicouches restaient intactes. Ces plateformes ont mis l'accent sur les protections existantes contre ce type d'attaques de la chaîne d'approvisionnement.

L'équipe du registre npm s'est efforcée de supprimer les paquets malveillants et de restaurer des versions saines. Les bibliothèques compromises ont été identifiées et corrigées dans les heures qui ont suivi leur découverte. Les chercheurs en sécurité de diverses entreprises ont collaboré pour suivre les portefeuilles attaqués et évaluer les dommages. Ils ont identifié les principales adresses de portefeuille liées à la violation et ont surveillé les autres comptes connectés.

L'attaque a mis en évidence les vulnérabilités des systèmes de gestion de paquets open source. Un seul compte de mainteneur compromis a eu des répercussions sur les systèmes logiciels et financiers mondiaux. Le 8 septembre a également été marqué par d'autres incidents de sécurité cryptographique, notamment une exploitation de 41 millions de dollars sur la plateforme suisse SwissBorg et la fermeture du projet Ethereum L2 Kinto à la suite d'un piratage antérieur.


Ce rapport rappelle le rapport de l'équipe de recherche sur les menaces de Socket qui a identifié trois paquets npm malveillants ciblant la version macOS du célèbre éditeur de code Cursor AI. Déguisés en outils de développement offrant "l'API Cursor la moins chère", ces paquets volent les informations d'identification de l'utilisateur, récupèrent une charge utile chiffrée à partir d'une infrastructure contrôlée par l'acteur de la menace. Au moment de leur découverte, ils avaient déjà été téléchargés plus de 3 200 fois.

Source : "The 2025 Software Supply Chain Security Report"

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Des hackers ont inondé NPM avec de faux packages, provoquant une attaque DoS qui a rendu NPM instable, selon un rapport de Checkmarx qui note une explosion de packages publiés en mars

Une blague ratée paralyse le registre NPM, empêchant les développeurs de dépublier leurs packages. Les farceurs estiment être « des testeurs d'assurance qualité pour NPM » et non des trolls

70% des nouveaux paquets NPM au cours des 6 derniers mois étaient des spams. Une équipe de chercheurs a révélé la prolifération de paquets de spam sur npm associés au protocole Tea qui promet des récompenses