NPM : l’attaque supply chain la plus massive

Encore un jour de la semaine, encore un package compromis sur npm. (C’est pareil sur tous les package registries.) Ici, le développeur d’une flopée de package s’est fait avoir par un mail de fishing.

C’est assez déprimant. Même si je n’installe pas ces packages directement, certaines de mes dépendances en dépendent. J’en arrive à un point où je vais virer npm et Node.js de mon système et ne passer que par Docker/Podman et Deno, ou même dédier une VM à ça (et encore, ça ne résout pas tout.) Au moins avec Deno, le système de permissions intégré bloquera les attaques les plus basiques… (et encore.)

Ici on a de la « chance » : l’attaque ne « s’active » que sur le navigateur et essaye de remplacer les adresses de wallets crypto dans les appels APIs, et les packets n’étaient « live » que pendant 2h30 le 8 septembre (pour plus de détails techniques, lire l’article.) Mais pour toutes celles qui sont détectées, combien qui passent sous le radar ?

L’article pointe vers une autre attaque en Juillet sur eslint-config-prettier et une autre en Mars.

Via : https://sebsauvage.net/links/?6BNYLA

Autre note sur les dépendances : Vendoring des dépendances

Edit : Selon cet article sur JFrog, c’est le record de « potentiel » en terme de popularité des packages :

Surprisingly, practical damage from the attack is almost non-existent. The attackers poorly used a widely known obfuscator, which led to immediate detection shortly after the malicious versions were published. Blockchain analysis of the associated wallets indicates that the campaign yielded only around $500 in stolen cryptocurrency. 

The attack’s reach makes this the most widespread supply chain attack in npm’s history. The compromised packages are extremely popular, having a total of two billion downloads across all versions while the compromised versions were downloaded more than 2.5 million times.

The incident highlights how fragile the modern JavaScript ecosystem is, where half of the codebase is dependent on single-line utilities maintained by a single developer.

Il y a aussi cet article sur CyberScoop avec un ton qui semble minimiser l’affaire, ce que je ne comprend pas vraiment en lumière de l’article au dessus. Certes, il n’y a pas eu énormément de dégâts et ça a vite été détecté, mais ça aurait pu être bien pire. Par exemple et pour rappel, une des étapes du hack de LastPass en 2022 était l’installation d’un keylogger sur le PC d’un des DevOps via une faille de sécurité de Plex sur son PC.

Edit : Cet épisode de podcast de Monde Numérique revient justement sur les nombreux hacks d’établissements français, et notamment France Travail, où la source était là aussi un « info-stealer » (un programme qui vient récupérer tous les mots de passe qu’il trouve sur l’ordinateur), ici installé via un faux captcha.

Et cet épisode du SANS Stormcast propose quelques solutions, comme mettre en place des outils qui viennent analyser les dépendances (Snyk, SonicWall…).