Passer au contenu

Cette cyberattaque mondiale potentiellement « dévastatrice » est un échec

Une cyberattaque mondiale, considérée comme potentiellement « dévastatrice », a provoqué la panique des chercheurs en sécurité et des développeurs cette semaine. Rapidement, il s’est avéré que l’attaque est un ratage complet. Les pirates ne sont pas parvenus à passer sous le radar. Alors que la poussière retombe, on fait le point sur un incident qui aurait pu très mal tourner.

Début de la semaine, une attaque informatique a visé l’écosystème JavaScript. L’offensive s’est concentrée sur les paquets NPM (NPM package), ces modules de code prêt à l’emploi que les développeurs peuvent installer et utiliser dans leurs projets JavaScript. Ces briques de code évitent aux développeurs de devoir tout recoder à chacun de leurs travaux. C’est un énorme gain de temps, mais c’est aussi un vecteur d’entrée pour les cybercriminels.

Dans le cadre de l’attaque, les pirates ont glissé du code malveillant dans des packages NPM particulièrement répandus. Pour arriver à leurs fins, les attaquants s’en sont pris à Josh Junon, un développeur berlinois qui officie en tant qu’administrateur de paquets NPM. En tant que package maintainer, il doit s’assurer que le code reste fiable, à jour et compatible avec l’écosystème JavaScript. L’ingénieur se charge de la maintenance de plusieurs paquets open source répandus. C’est pourquoi il a été pris pour cible.

À lire aussi : Webcam piratée – ce malware espion prend en photo les internautes qui regardent du porno

Un mail de phishing à l’origine de la cyberattaque

Il y a quelques jours, celui-ci a reçu un mail de phishing. Ce courriel prétendait provenir du site officiel de NPM (Node Package Manager), la plateforme en ligne qui héberge des millions de paquets open source pour JavaScript.Le mail informait le développeur que son compte risquait d’être suspendu à partir du 10 septembre 2025. Comme toujours, les pirates cherchent à mettre la pression sur leur cible.

Pour éviter la suspension du compte, le message affirmait demander « à tous les utilisateurs de mettre à jour leurs informations d’identification d’authentification à deux facteurs », prétextant des raisons de sécurité. Le mail ajoute qu’il y a plus de 12 mois qui se sont écoulés « depuis votre dernière mise à jour ». Souhaitant éviter un « accès non autorisé », le développeur a cliqué sur le lien affiché dans le mail.

Yep, I’ve been pwned. 2FA reset email, looked very legitimate.

Only NPM affected. I’ve sent an email off to @npmjs.bsky.social to see if I can get access again.

Sorry everyone, I should have paid more attention. Not like me; have had a stressful week. Will work to get this cleaned up.

[image or embed]

— Josh Junon (@bad-at-computer.bsky.social) 8 septembre 2025 à 17:15

C’est à ce moment-là que piège s’est refermé et que l’attaque de la chaîne d’approvisionnement a pu commencer. Comme l’explique Josh Junon sur son compte BlueSky, son compte sur le site de NPM a été piraté. « L’e-mail de réinitialisation semblait légitime », et il a commis l’erreur de fournir ses identifiants.

Des dizaines paquets NPM infectés

Avec les données d’identification, les attaquants ont pu se connecter au compte de Junon. Ils n’ont pas tardé à passer à l’action en injectant du code malveillant dans les paquets NPM gérés par le développeur. Ce code malveillant est conçu pour surveiller les adresses de portefeuilles de cryptomonnaies. Lorsqu’une transaction est repérée, le morceau de code va modifier l’adresse de destination. De facto, la victime envoie des cryptos, comme du Bitcoin ou de l’Ether, à une adresse contrôlée par les attaquants.

Le code « manipule les interactions avec le portefeuille et réécrit les adresses de paiement, de sorte que les fonds et les autorisations soient redirigés vers des comptes contrôlés par l’attaquant, sans que l’utilisateur ne s’en rende compte », explique le chercheur Charlie Eriksen à Bleeping Computer. Les fonds finissent alors dans les poches des hackers.

Plusieurs paquets NOM, totalisant plus de 2,6 milliards de téléchargements hebdomadaires, ont été infectés au cours de l’attaque. Ces paquets vérolés se sont retrouvés sur près de 10 % de l’ensemble des environnements cloud, mettant en danger de nombreux internautes, expliquent les chercheurs de Wiz. Quand les paquets infectés ont été repérés, plusieurs experts en cybersécurité ont tiré la sonnette d’alarme. C’est le cas de Charles Guillemet, le responsable de la sécurité chez Ledger, la licorne française qui développe des portefeuilles physiques pour protéger vos cryptos. Le responsable a mis les détenteurs de crypto en garde contre une « attaque de chaîne d’approvisionnement à grande échelle » qui pourrait menacer « l’ensemble de l’écosystème JavaScript »

« Si vous utilisez un portefeuille physique, vérifiez attentivement chaque transaction avant de la signer : vous resterez protégé. Si vous n’en avez pas, il est préférable d’éviter toute transaction sur la blockchain pour le moment », déclarait Charles Guillemet. 

 

De son côté, le chercheur Clément Domingo évoquait une « cyberattaque mondiale » potentiellement « dévastatrice » avec des conséquences incertaines, découlant d’un simple mail de phishing « d’un réalisme déconcertant ».

Un pétard mouillé

Bonne nouvelle, la cyberattaque a rapidement capoté. En effet, les chercheurs se sont vite rendu compte qu’il y avait énormément de conditions à remplir pour que le code malveillant fonctionne et arrive à piéger les détenteurs de cryptos. Andrew MacPherson, ingénieur en sécurité, souligne qu’il y a une montagne de conditions spécifiques qui restreignent en fait l’impact de l’opération. Par ailleurs, la communauté open source a rapidement réagi au piratage. En seulement deux heures, tous les paquets infectés ont été supprimés, ce qui considérablement réduit les dégâts causés par l’attaque.

L’offensive ressemble davantage à un pétard mouillé. L’attaque a « heureusement échoué, avec presque aucune victime » recensée, se réjouit Charles Guillemet. Les attaquants n’ont d’ailleurs pas dégagé une fortune, bien qu’ils aient mis au coup de pression sur l’écosystème JavaScript. Les chercheurs de la Security Alliance assurent que les pirates n’ont pas pu voler plus de 1000 dollars en cryptomonnaies. On parle de 500 dollars d’Ether, de moins de 50 dollars de Solana et des petits montants de Bitcoin et de quelques autres cryptos, dont des projets méconnus. On est loin du casse du siècle.

Néanmoins, le hack doit alerter les chercheurs, les développeurs et les détenteurs de crypto des risques posés par les attaques de ce genre. Comme l’explique le responsable de la sécurité de Ledger, « les compromissions de la chaîne d’approvisionnement restent un puissant vecteur de propagation de logiciels malveillants, et nous assistons également à l’émergence d’attaques plus ciblées »

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Florian Bayard
Sur le même sujet
Les dernières actualités
Bp Cyberghost
Ce VPN parfait pour le divertissement revient à seulement 2,19 €/mois grâce à une remise immédiate de 82%
Amd Ryzen
Adieu Intel, bonjour AMD : à prix cassé, le processeur Ryzen 7 9800X3D plie le game 🚀
Xbox Series S X
Les prix des Xbox augmentent à nouveau aux États-Unis !
Philippe Miltin Outscale
« On n’a aucune dépendance technologique » vis-à-vis des États-Unis, le secret d’Outscale révélé par son DG
Xiaomi Pad 7 Pro
Par erreur ou pure folie, le prix de la tablette premium Xiaomi Pad 7 Pro touche le fond (-45%)
iOS 26
iOS 26 : 10 fonctions cachées pour bien maîtriser la dernière mise à jour de l’iPhone
iPhone 17 Pro Rayures
Des rayures au bout de quelques heures sur les iPhone 17 Pro
Avast
Avast passe à la vitesse supérieure : fini le simple antivirus, découvrez ses nouvelles promesses
Top téléchargements
Les tests à la une