Une nouvelle attaque de la chaîne d’approvisionnement vient de frapper Node Package Manager (npm), la bibliothèque en ligne de paquets, massivement utilisée par les développeurs dans le monde entier. Selon les chercheurs en sécurité de JFrog, une entreprise spécialisée dans la gestion de la chaîne logicielle, des cybercriminels sont parvenus à glisser un malware dans de nombreux paquets, ces morceaux de code prêts à l’emploi destinés à faciliter la création d’une application ou d’un logiciel.
Comme l’explique JFrog dans son rapport, un virus, intitulé IronWorm, s’est infiltré dans 36 paquets disponibles sur npm. Depuis leur création, ces paquets ont cumulé environ 32 177 téléchargements mensuels et 148 724 téléchargements totaux. Il s’agit donc de paquets populaires, très utilisés par les développeurs. L’attaque a été détectée tôt, mais elle aurait pu avoir des conséquences désastreuses.
À lire aussi : Fuite de données chez les rois de l’IA – une cyberattaque massive vient de frapper OpenAI et Mistral
Un compte compromis à l’origine de l’attaque
Pour introduire le malware sur npm, les pirates ont d’abord pris le contrôle d’un compte npm enregistré sous le nom « asteroiddao ». Ce compte, comme des millions d’autres, permettait à son titulaire de publier des bibliothèques de code. En contaminant un compte de cet acabit, les hackers ont mis un pied dans la chaîne de fabrication mondiale des logiciels.
Avec le compte compromis, ils ont mis en ligne les paquets infectés avec IronWorm. Ils publient de nouvelles versions de paquets existants, en prenant énormément de précautions pour passer sous le radar. Les pirates vont par exemple modifier l’historique des paquets, en prétendant que les changements apportés par leurs soins remontent à plus de dix ans. En faisant croire que ces modifications sont anciennes, ils empêchent les développeurs de flairer le piège.
Lorsqu’un développeur télécharge l’un des 36 paquets infectés et l’intègre dans son projet, le malware IronWorm s’installe discrètement sur la machine. Grâce à un arsenal sophistiqué, le virus va se loger au niveau du noyau du système d’exploitation, évitant ainsi la plupart des scanners de sécurité. Pour communiquer avec les pirates, le virus passe par Tor, le réseau qui permet d’accéder au dark web.
À lire aussi : Ce botnet russe se croyait indestructible, mais il vient d’être détruit
Un virus qui se propage très vite
Une fois bien installé, IronWorm va scrupuleusement fouiller tout l’ordinateur de sa victime. Il recherche surtout des clés d’accès aux services cloud comme Amazon Web Services (AWS), des clés d’API pour des services d’intelligence artificielle comme OpenAI ou Anthropic, des identifiants npm, des fichiers de configuration de coffres-forts numériques, et même les fichiers du portefeuille de cryptomonnaies Exodus. Il compresse l’ensemble des secrets volés dans un fichier au nom anodin et met le document en ligne sur Github. Les cybercriminels à l’origine de l’attaque n’ont plus qu’à télécharger les fichiers volés.
En parallèle, IronWorm va se servir des identifiants npm trouvés sur la machine de sa victime pour publier automatiquement de nouvelles versions malveillantes des paquets. L’ordinateur compromis sert ainsi à propager d’autres paquets infectés, ce qui accroît la portée de la cyberattaque. Le virus fonctionne ainsi de la même manière que Shai Hulud, un ver informatique qui était parvenu à compromettre des centaines de paquets en 2025. Les chercheurs de JFrog considèrent d’ailleurs que IronWorm est une variante plus évoluée de Shai Hulud.
« À l’instar du ver Shai-Hulud, il utilise les identifiants volés comme mécanisme de propagation, s’intégrant discrètement aux dépôts GitHub des victimes et se publiant sur le registre NPM », explique JFrog dans son rapport.
Une cyberattaque tuée dans l’œuf
Fort heureusement, l’intrusion d’IronWorm a été promptement décelée par JFrog, qui a prévenu npm de la présence de paquets malveillants. En surveillant les publications sur le registre npm, les chercheurs ont remarqué que tous les paquets du compte « asteroiddao » avaient été republiés dans un laps de temps très court. Dès le lendemain du début de l’attaque, les versions malveillantes des paquets npm ont été marquées comme obsolètes, et la plupart des modifications malveillantes ont été silencieusement supprimées de GitHub.
L’attaque a ainsi été stoppée avant d’atteindre des paquets plus populaires, qui auraient pu propager IronWorm à une bien plus grande échelle. Au vu du mécanisme d’auto-propagation d’IronWorm, le pire a été évité. Ces derniers temps, les attaques de la chaîne d’approvisionnement se sont multipliées. Le mois dernier, des pirates se sont attaqués à Github en se servant d’une extension corrompue, utilisée par des millions de développeurs dans le monde.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : JFrog
