Édito – Newsletter N°29
Bonjour à toutes et à tous,
je vous propose une réflexion sur les menaces liées aux attaques contre les dépôts NPM. On a subit plusieurs incidents en série sur les chaines d’approvisionnements de nos composants Open Source. et cela nous pose quelques questions en tant que professionnels de la Cybersécurité.
Ces dernières semaines ont mis en évidence une série d’attaques majeures visant l’écosystème NPM (Node Package Manager).
Ces incidents démontrent que les dépôts de paquets JavaScript — infrastructure clé des chaînes logicielles modernes — constituent des points d’entrée critiques pour des opérations malveillantes.
Ils révèlent aussi à quel point les chaînes d’approvisionnement logicielles peuvent être fragilisées par la compromission d’un seul maillon. Les attaques observées concernent des compromissions à grande échelle, des vols d’identifiants, des infections automatiques et des propagations transitives affectant potentiellement des milliards de téléchargements.
Les événements récents vue par RadioCSIRT
Un ver auto-réplicatif baptisé Shai-Hulud a infecté près de deux cents paquets disponibles sur le registre NPM. Ce code malveillant était conçu pour voler des identifiants de développeurs (tokens NPM, clés GitHub, accès cloud) et publier ces données dans des dépôts publics. Une fois installé dans un environnement disposant d’un token valide, il modifiait automatiquement jusqu’à vingt paquets accessibles à ce compte, y insérait son code, et republiait de nouvelles versions compromises, amplifiant ainsi sa propagation.
L’attaque a également touché des paquets gérés par des éditeurs de premier plan. Les versions infectées ont été rapidement supprimées, les clés compromises révoquées, et les équipes affectées ont indiqué que leurs produits principaux n’avaient pas été impactés. Néanmoins, l’incident a montré la rapidité avec laquelle une compromission peut se propager dans un écosystème aussi vaste.
Quelques semaines auparavant, d’autres attaques avaient visé des bibliothèques extrêmement populaires comme Chalk et Debug, à la suite du compromis d’un compte mainteneur par phishing. Ces librairies totalisent à elles seules plusieurs milliards de téléchargements hebdomadaires, ce qui illustre l’ampleur du risque lorsqu’un acteur malveillant parvient à introduire du code hostile dans une dépendance critique.
Les vecteurs et techniques d’attaque
Les campagnes récentes reposent sur plusieurs mécanismes :
Compromission de comptes de mainteneurs
Les attaquants ciblent les identifiants des développeurs via des campagnes de phishing, usurpations de domaine ou revente de clés exposées. Une fois l’accès obtenu, ils publient des versions corrompues de paquets largement utilisés.Injection de code malveillant
Le code malveillant est inséré dans les versions publiées, souvent sous la forme de fichiers JavaScript discrets. Ces ajouts sont conçus pour exfiltrer des données sensibles ou installer d’autres charges malveillantes.Exfiltration de secrets
Les malwares déployés collectent des tokens NPM, des clés API, des identifiants GitHub ou cloud, qu’ils exfiltrent automatiquement vers des serveurs contrôlés par les attaquants. L’outil open source TruffleHog est parfois détourné à cette fin.Propagation automatique
Dans le cas du ver Shai-Hulud, le malware ne se contente pas d’infecter un projet isolé : il exploite les droits des comptes compromis pour publier en cascade des versions infectées d’autres paquets, créant un effet boule de neige comparable à celui d’un virus biologique.Ciblage sélectif des environnements
Certaines variantes se concentrent sur Linux et MacOS, tout en ignorant Windows. Elles peuvent aussi viser spécifiquement des environnements de développement contenant des portefeuilles de cryptomonnaie, ou exploiter des métadonnées de services cloud afin de dérober des clés temporaires.
Quels risques pour l’écosystème
L’impact de ces attaques dépasse le cadre de projets individuels. Plusieurs risques majeurs sont identifiés :
Propagation rapide : un seul paquet compromis peut contaminer des milliers de projets via des dépendances directes ou transitives.
Exfiltration de secrets critiques : des clés d’accès volées peuvent ouvrir la voie à des compromissions plus profondes (pipelines CI/CD, infrastructures internes, données clients).
Atteinte à la confiance : la compromission d’une bibliothèque populaire affecte la réputation des éditeurs comme des entreprises utilisatrices.
Effets en cascade : la contamination d’une dépendance partagée peut avoir un impact massif sur l’écosystème entier.
Détection complexe : le code malveillant est souvent discret, publié sous forme de versions mineures, et peut agir en arrière-plan sans signe visible.
Les faiblesses structurelles de NPM
Plusieurs caractéristiques de l’écosystème accentuent la vulnérabilité :
Un très grand nombre de contributeurs : l’immensité de l’écosystème rend difficile la mise en place d’un contrôle strict.
Chaînes de dépendances profondes : un projet peut embarquer des dizaines de dépendances, elles-mêmes dépendantes d’autres modules, multipliant les surfaces d’attaque.
Mises à jour automatiques : l’usage répandu de règles de version permissives facilite l’introduction de versions compromises.
Manque d’authentification forte : bien que la double authentification existe, son adoption reste incomplète parmi les mainteneurs.
Réactivité limitée : entre la publication d’un paquet compromis et son retrait par NPM, un grand nombre de téléchargements peuvent déjà avoir eu lieu.
Quelques cas marquants
Le ver Shai-Hulud est apparu à la mi-septembre 2025 et a compromis près de deux cents paquets en quelques jours.
Le paquet @ctrl/tinycolor, téléchargé plus de deux millions de fois par semaine, a connu des versions corrompues publiées par un compte mainteneur compromis.
Les attaques par phishing sur des mainteneurs de bibliothèques comme Chalk et Debug ont permis d’injecter du code visant à intercepter les transactions de cryptomonnaies dans les environnements navigateurs.
Si je devais conclure
Les attaques récentes contre NPM mettent en lumière une menace structurelle pour la chaîne d’approvisionnement logicielle : la dépendance à des dépôts publics massifs, maintenus par des milliers de contributeurs aux pratiques de sécurité hétérogènes. La compromission d’un seul compte ou d’une seule dépendance peut avoir des conséquences systémiques, se propageant rapidement à travers des projets critiques dans le monde entier. Ces événements confirment que la sécurité des chaînes logicielles ne repose pas uniquement sur la robustesse technique, mais également sur la gouvernance, la transparence et la capacité à réagir rapidement face aux incidents.
Marc-Frédéric GOMEZ
Fondateur de RadioCSIRT
🔎 À lire cette semaine sur mon blog
Je vous propose une nouvelle sélection de mes derniers articles publiés sur mon blog.
🔹 Alerte FBI : Les groupes UNC6040 et UNC6395 ciblent Salesforce
👉 Lire : https://blog.marcfredericgomez.fr/alerte-fbi-activites-malveillantes-des-groupes-unc6040-et-unc6395-ciblant-salesforce/
🔹 Analyse de la compromission des systèmes Ivanti EPMM (Rapport CISA)
👉 Lire : https://blog.marcfredericgomez.fr/analyse-de-la-compromission-des-systemes-ivanti-endpoint-manager-mobile-epmm-rapport-cisa-ar25-261a/
🎙 Récapitulatif des épisodes du podcast de la semaine (Ep.420 au 426)
Du samedi 13 septembre au au vendredi 19 septembre 2025
📅 Podcast RadioCSIRT du Samedi 13 Septembre 2025 (Ep.420)
📌 Au programme aujourd'hui :
📑 Un audit du DHS pointe une mauvaise gestion par la CISA de son programme d’incitations financières à la rétention des talents cyber.
Source : The Record
🔗 https://therecord.media/cisa-cybersecurity-retention-incentives-dhs-ig-audit
🌐 Stark Industries, fournisseur d’hébergement bulletproof lié à des cyberattaques russes, contourne les sanctions de l’Union européenne en se rebrandant et en transférant ses actifs.
Source : KrebsOnSecurity
🔗 https://krebsonsecurity.com/2025/09/bulletproof-host-stark-industries-evades-eu-sanctions/
💰 Témoignage d’une victime d’escroquerie : une femme perd ses économies et s’endette lourdement après une manipulation commencée sur Fitbit.
Source : Malwarebytes
🔗 https://www.malwarebytes.com/blog/scams/2025/09/from-fitbit-to-financial-despair-how-one-woman-lost-her-life-savings-and-more-to-a-scammer
🛡️ Yurei, un nouveau groupe de ransomware basé sur Prince-Ransomware, multiplie ses victimes et mise sur l’extorsion par divulgation de données.
Source : Check Point Research
🔗 https://research.checkpoint.com/2025/yurei-the-ghost-of-open-source-ransomware/
📅 Podcast RadioCSIRT du Dimanche 14 Septembre 2025 (Ep.421)
📌 Au programme aujourd'hui :
🍏 Apple alerte une quatrième fois en 2025 les utilisateurs français sur des campagnes de spyware, confirmées par le CERT-FR.
Source : The Hacker News
🔗 https://thehackernews.com/2025/09/apple-warns-french-users-of-fourth.html
🛠️ Le FBI publie une alerte FLASH sur les groupes UNC6040 et UNC6395, qui ciblent les plateformes Salesforce pour vol de données et extorsion.
Source : Security Affairs
🔗 https://securityaffairs.com/182159/cyber-crime/fbi-warns-of-salesforce-attacks-by-unc6040-and-unc6395-groups.html
📢 Un rapport met en avant la nécessité d’un cadre de notification efficace pour les victimes de cyberattaques et propose un concept de notification native.
Source : Bruce Schneier
🔗 https://www.schneier.com/blog/archives/2025/09/a-cyberattack-victim-notification-framework.html
📱 Samsung corrige la CVE-2025-21043, une faille critique exploitée en zero-day dans Android, signalée par les équipes sécurité de Meta et WhatsApp.
Source : BleepingComputer
🔗 https://www.bleepingcomputer.com/news/security/samsung-patches-actively-exploited-zero-day-reported-by-whatsapp/
🚗 DoorDash confronté à une vague d’escroqueries visant clients et livreurs, allant du phishing aux fraudes “cash on delivery”.
Source : Avast
🔗 https://blog.avast.com/doordash-scams-are-serving-up-trouble
🔑 Analyse : les tokens OAuth compromis deviennent un maillon faible critique dans la supply chain, avec l’exemple de l’incident Salesloft Drift.
Source : Palo Alto Networks – Unit 42
🔗 https://unit42.paloaltonetworks.com/third-party-supply-chain-token-management/
🇨🇭 La Suisse envisage une réglementation imposant l’identification obligatoire et la conservation de données, suscitant des craintes de surveillance de masse et un exode d’acteurs comme Proton.
Source : Recorded Future News
🔗 https://therecord.media/switzerland-digital-privacy-law-proton-privacy-surveillance
📅 Podcast RadioCSIRT du Lundi 15 Septembre 2025 (Ep.422)
📌 Au programme aujourd'hui :
🇺🇦 L’Ukraine revendique une attaque DDoS contre le système électoral russe, dans un contexte tendu marqué par les législatives en Russie.
Source : The Record Media
🔌 Deux vulnérabilités critiques dans WordPress Events Calendar (CVE-2025-9807) font l’objet d’une alerte officielle de cyberveille santé.
Source : Cyberveille Santé
🛡️ Ivanti publie une alerte sur la CVE-2025-9712, une faille critique exposant ses solutions à des compromissions à grande échelle.
Source : Cyberveille Santé
💰 La fintech Finwise victime d’un vol massif de données internes, attribué à un ancien employé ayant exploité ses accès privilégiés.
Source : The Register
👉 Les sources complètes :
https://therecord.media/ukraine-claims-ddos-attack-russian-election-system
https://cyberveille.esante.gouv.fr/alertes/wordpress-events-calendar-cve-2025-9807-2025-09-15
https://cyberveille.esante.gouv.fr/alertes/ivanti-cve-2025-9712-2025-09-15
https://www.theregister.com/2025/09/15/finwise_insider_data_breach/
📅 Podcast RadioCSIRT du Mardi 16 Septembre 2025 (Ep.423)
📌 Au programme aujourd'hui :
📧 Proton Mail suspend les comptes de plusieurs journalistes, sans explication claire.
👉 Une décision qui soulève des inquiétudes sur la confidentialité et la liberté de la presse.
🔗 https://theintercept.com/2025/09/12/proton-mail-journalist-accounts-suspended/
🖥️ Windows 11 dynamise WSL avec l’accélération GPU et un noyau amélioré.
👉 Une avancée qui change la donne pour les développeurs Linux sur Windows.
🔗 https://www.linuxjournal.com/content/windows-11-powers-wsl-how-gpu-acceleration-kernel-upgrades-change-game
🌏 Résumé tech en Asie : Chine, Inde, Japon – les enjeux technologiques s’intensifient.
👉 Une synthèse des grandes manœuvres stratégiques de la semaine passée.
🔗 https://www.theregister.com/2025/09/15/asia_tech_news_roundup/
💣 Une entreprise menace ses employés de sanctions s’ils ne détruisent pas leurs ordinateurs portables.
👉 Une consigne choquante dans un contexte de fuite de données.
🔗 https://www.theregister.com/2025/09/14/destroy_data_company_laptops_or_else/
🐼 Mustang Panda utilise des clés USB infectées avec SnakeDisk pour cibler ses victimes.
👉 Une nouvelle campagne d’espionnage redoutable menée par un groupe APT chinois.
🔗 https://thehackernews.com/2025/09/mustang-panda-deploys-snakedisk-usb.html
👜 Des hackers volent des millions de données clients chez Gucci, Balenciaga et Alexander McQueen.
👉 Une attaque majeure ciblant l’univers du luxe.
🔗 https://securityaffairs.com/182236/cyber-crime/hackers-steal-millions-of-gucci-balenciaga-and-alexander-mcqueen-customer-records.html
🦀 Une campagne de phishing cible les développeurs Rust.
👉 Les attaquants tentent d’exploiter la confiance au sein de la communauté open source.
🔗 https://www.helpnetsecurity.com/2025/09/15/phishing-campaign-targets-rust-developers/
📬 Microsoft Exchange 2016 et 2019 : fin du support dans 30 jours.
👉 Une mise en garde importante pour les administrateurs IT.
🔗 https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-2016-and-2019-reach-end-of-support-in-30-days/
📅 Podcast RadioCSIRT du Mercredi 17 Septembre 2025 (Ep.424)
📌 Au programme aujourd'hui :
🛡️ Alerte CERT-FR sur Suricata (CERTFR-2025-AVI-0796).
👉 Une vulnérabilité critique dans le moteur d’inspection de paquets, nécessitant une mise à jour immédiate.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0796/
🔐 SonicWall alerte ses clients après une compromission de MySonicWall.
👉 L’éditeur recommande de réinitialiser les identifiants pour prévenir tout accès non autorisé.
🔗 https://www.bleepingcomputer.com/news/security/sonicwall-warns-customers-to-reset-credentials-after-MySonicWall-breach/
🐉 Le groupe chinois TA415 exploite Visual Studio Code Remote.
👉 Une campagne ciblée qui abuse de la fonction de développement à distance pour installer des malwares.
🔗 https://thehackernews.com/2025/09/chinese-ta415-uses-vs-code-remote.html
📦 Nouvelle attaque supply chain sur le registre npm.
👉 Plus de 40 packages compromis, illustrant encore une fois la fragilité de l’écosystème open source.
🔗 https://securityaffairs.com/182274/malware/new-supply-chain-attack-hits-npm-registry-compromising-40-packages.html
📅 Podcast RadioCSIRT du Jeudi 18 Septembre 2025 (Ep.425)
📌 Au programme aujourd'hui :
🌐 Google publie une mise à jour critique pour Chrome.
👉 Quatre vulnérabilités corrigées, dont une zero-day activement exploitée (CVE-2025-10585).
🔗 https://www.malwarebytes.com/blog/news/2025/09/update-your-chrome-today-google-patches-4-vulnerabilities-including-one-zero-day
👮 Deux jeunes suspects de Scattered Spider inculpés au Royaume-Uni.
👉 Ils sont accusés du piratage de Transport for London et d’attaques contre des entreprises de santé américaines.
🔗 https://therecord.media/scattered-spider-teenage-suspects-arrested-britain-nca
🔥 WatchGuard corrige une faille critique dans ses pare-feux Firebox.
👉 La CVE-2025-9242 permet l’exécution de code à distance via IKEv2 VPN.
🔗 https://www.bleepingcomputer.com/news/security/watchguard-warns-of-critical-vulnerability-in-firebox-firewalls/
💾 ShinyHunters revendique le vol de 1,5 milliard d’enregistrements Salesforce.
👉 Les jetons OAuth compromis de Salesloft Drift auraient permis d’exfiltrer les données de 760 entreprises.
🔗 https://www.bleepingcomputer.com/news/security/shinyhunters-claims-15-billion-salesforce-records-stolen-in-drift-hacks/
👤 LinkedIn change sa politique de confidentialité.
👉 Par défaut, les données des utilisateurs serviront à entraîner ses modèles d’IA, sauf désactivation manuelle.
🔗 https://www.helpnetsecurity.com/2025/09/18/linkedin-ai-data-privacy-policy/
🔐 Microsoft toujours épinglé pour RC4 et Kerberoasting.
👉 Le sénateur Ron Wyden demande une enquête de la FTC sur les failles persistantes d’Active Directory.
🔗 https://www.schneier.com/blog/archives/2025/09/microsoft-still-uses-rc4.html
📅 Podcast RadioCSIRT du Vendredi 19 Septembre 2025 (Ep.426)
📌 Au programme aujourd'hui :
Un ver auto-réplicatif frappe plus de 180 paquets logiciels.
Une attaque "zero-click" a été découverte dans ChatGPT.
Alerte sur la surveillance active par des hackers nord-coréens.
Le CERT-FR alerte sur des vulnérabilités critiques dans Microsoft Windows.
La CISA publie un rapport sur un malware visant Ivanti EPMM.
Un nouveau guide sur les outils EASM est disponible.
Les dépôts de code en ligne sont ciblés par des attaquants.