Les alertes du CTO de Ledger sur les attaques de chaînes dapprovisionnement NPM affectant des milliards de téléchargements

Charles Guillemet, directeur technique chez Ledger, fournisseur de portefeuilles matériels, a émis un avertissement public concernant une attaque en cours sur la chaîne d'approvisionnement affectant l'écosystème Node.js. Selon le post de Guillemet sur la plateforme sociale X, des attaquants ont accédé au compte NPM (Node Package Manager) d’un développeur réputé et ont injecté du code malveillant dans des packages JavaScript largement utilisés. Les packages compromis ont accumulé collectivement plus d'un milliard de téléchargements, ce qui indique une menace potentiellement grave pour les développeurs et les utilisateurs finaux du secteur des cryptomonnaies.

La charge malveillante est conçue pour intercepter et modifier les données de transaction dans les bibliothèques affectées, remplaçant silencieusement l'adresse de portefeuille prévue par celle de l'attaquant. De telles modifications restent invisibles pour les applications qui n’implémentent pas une vérification stricte des adresses sur la blockchain. En conséquence, les fonds envoyés via des applications décentralisées ou des contrats intelligents dépendant des packages compromis pourraient être redirigés vers des comptes non autorisés, entraînant des pertes financières importantes pour les utilisateurs.

Guillemet a souligné que la seule défense fiable contre ce type d’attaque est l’utilisation de portefeuilles matériels équipés d’écrans sécurisés et prenant en charge la signature claire (Clear Signing). Les écrans sécurisés permettent aux utilisateurs de vérifier l’adresse exacte du destinataire et le montant de la transaction avant de finaliser un transfert. Sans ce niveau de validation, les logiciels de portefeuille en aval ou les applications décentralisées restent vulnérables aux attaques par échange d’adresses.

Les chaînes d'approvisionnement des logiciels open-source sont depuis longtemps reconnues comme des points potentiels de compromission, particulièrement dans les infrastructures critiques et les applications financières. L'attaque contre NPM souligne la nature interconnectée des workflows de développement modernes, où une faille sur un seul compte peut entraîner une contamination généralisée du code. Les experts en sécurité exhortent les mainteneurs de packages à haut risque à mettre en place une authentification multifactorielle, des revues régulières de sécurité et des vérifications automatisées de l’intégrité dans le cadre d'une stratégie globale de renforcement.

Ledger n’a pas encore identifié les packages ou les développeurs impliqués afin d’éviter d’accélérer la propagation du code malveillant. Guillemet a conseillé aux développeurs d’auditer leurs dépendances, de surveiller les requêtes réseau pour détecter des activités anormales d’échange d’adresses et d’utiliser des outils cryptographiques pour vérifier l’intégrité des packages. Il a également appelé la communauté open-source plus large et les utilisateurs d’entreprise à collaborer pour tracer et remédier aux modules compromis.

Cet incident fait suite à une série d’attaques en chaîne d'approvisionnement très médiatisées dans le développement logiciel, incluant des dépendances trojanisées dans des écosystèmes populaires. Cette attaque rappelle que les mesures de sécurité doivent aller au-delà des attaques directes sur les applications pour couvrir l’ensemble de la chaîne de développement. Les organisations sont encouragées à appliquer des contrôles de sécurité rigoureux, notamment la liste blanche des dépendances, la surveillance continue et la planification de la réponse aux incidents afin de réduire les risques futurs.

Reportage de Margaux Nijkerk ; édité par Nikhilesh De.