Des pirates informatiques ont inséré des codes malveillants dans des logiciels libres comptant plus de 2 milliards de mises à jour hebdomadaires, dans le cadre de ce qui est probablement la plus grande attaque de la chaîne d’approvisionnement jamais réalisée dans le monde.
L’attaque, qui a compromis près de deux douzaines de paquets hébergés sur le dépôt npm, a été portée à la connaissance du public lundi par le biais de messages sur les médias sociaux. À peu près au même moment, Josh Junon, mainteneur ou co-mainteneur des paquets concernés, a déclaré avoir été « pwné » après avoir été victime d’un courriel prétendant que son compte sur la plateforme serait fermé s’il ne se connectait pas à un site et ne mettait pas à jour ses identifiants d’authentification à deux facteurs.
Déjouer l’authentification à deux facteurs en toute simplicité
« Désolé tout le monde, j’aurais dû être plus attentif », a écrit Junon, qui utilise le pseudonyme Qix. « Ce n’est pas mon genre, j’ai eu une semaine stressante. Je vais m’efforcer d’arranger les choses ».
Les attaquants inconnus à l’origine de la compromission du compte n’ont pas perdu de temps pour en tirer parti. En l’espace d’une heure, des dizaines de paquets open source supervisés par Junon ont reçu des mises à jour qui ont ajouté un code malveillant permettant de transférer des paiements en crypto-monnaies vers des portefeuilles contrôlés par les attaquants. Avec plus de 280 lignes de code, l’ajout fonctionne en surveillant les systèmes infectés pour les transactions en crypto-monnaie et en enchaînant les adresses des portefeuilles recevant des paiements à ceux contrôlés par l’attaquant.
Les paquets compromis, au nombre de 20 au dernier recensement, comprenaient certains des codes les plus fondamentaux de l’écosystème JavaScript. Ils sont utilisés directement et ont également des milliers de dépendances, c’est-à-dire d’autres paquets npm qui ne fonctionnent pas s’ils ne sont pas également installés. (npm est le dépôt de code officiel pour les fichiers JavaScript).
« Le chevauchement avec des projets aussi prestigieux augmente considérablement le rayon d’action de cet incident », ont déclaré les chercheurs de la société de sécurité Socket. « En compromettant Qix, les attaquants ont acquis la capacité de diffuser des versions malveillantes de paquets dont dépendent indirectement un nombre incalculable d’applications, de bibliothèques et de cadres.
Les chercheurs ont ajouté : « Compte tenu de la portée et de la sélection des paquets touchés, il semble qu’il s’agisse d’une attaque ciblée conçue pour maximiser la portée dans l’écosystème. »
Le message électronique auquel Junon a été sensible provenait d’une adresse électronique de support.npmjs.help, un domaine créé il y a trois jours pour imiter le site officiel npmjs.com utilisé par npm. Il indiquait que le compte de Junon serait fermé s’il ne mettait pas à jour les informations relatives à son 2FA, qui exige que les utilisateurs présentent une clé de sécurité physique ou fournissent un code de passe à usage unique fourni par une application d’authentification en plus d’un mot de passe lorsqu’ils se connectent.