Une vaste attaque de malware frappe des centaines de packages JavaScript, dont des projets crypto très populaires

Une nouvelle attaque visant la plateforme JavaScript NPM a contaminé des centaines de paquets logiciels avec un malware de type ver auto‑réplicant. D’après une enquête de la société de cybersécurité Aikido Security, aussi bien des projets logiciels généraux que des paquets liés au secteur crypto ont été touchés.

Plus de 400 paquets infectés découverts

Le chercheur en cybersécurité Charlie Eriksen a identifié plus de 400 paquets infectés par le ver baptisé Shai Hulud. Ce ver se propage automatiquement dès qu’un paquet contaminé est installé et peut collecter des données sensibles, comme des codes d’accès et des identifiants de connexion. Beaucoup des paquets concernés sont téléchargés des dizaines de milliers de fois par semaine, ce qui amplifie considérablement l’impact.

Le projet crypto Ethereum Name Service durement touché

Une grande partie des infections concerne des paquets utilisés par des projets crypto, dont Ethereum Name Service (ENS). Ce projet fonctionne comme un carnet d’adresses pour les wallets crypto et s’appuie sur des paquets largement utilisés comme content-hash, ensjs et address-encoder. Ensemble, ils totalisent plus de 100 000 téléchargements hebdomadaires. Le paquet lié aux crypto crypto-addr-codec, indépendant d’ENS, s’avère lui aussi compromis.

Ce que fait le malware

Alors que les attaques précédentes visaient surtout le vol de cryptomonnaies, le ver Shai Hulud agit différemment. Le malware peut :

• collecter des identifiants et d’autres informations sensibles
• se propager à d’autres systèmes
• exposer des fichiers privés et des paramètres de configuration

Selon Slava Demchuk, CEO de l’entreprise de criminalistique crypto AMLBot, le ver collecte tout ce qui est stocké comme secret dans un environnement de développement. Même s’il n’y a pour l’instant aucun signalement de vols de clés de wallets, les systèmes ayant utilisé un paquet infecté sont considérés comme à risque.

Au‑delà de la crypto : de grandes entreprises également touchées

En plus des projets crypto, divers paquets non crypto ont également été contaminés. Parmi les libraries affectées figurent des modules de la plateforme d’automatisation Zapier, dont certains dépassent les 40 000 téléchargements par semaine. Un paquet infecté au moins affiche même plus de 1,5 million de téléchargements hebdomadaires.

Le nombre de dépôts infectés explose

La société de cybersécurité Wiz indique avoir déjà détecté plus de 25 000 dépôts infectés. La vague de contamination progresse rapidement : toutes les trente minutes, environ 1 000 nouveaux dépôts compromis s’y ajoutent. L’entreprise recommande aux développeurs et aux organisations de vérifier immédiatement leurs systèmes et de supprimer ou remplacer au plus vite les paquets contaminés.