L’article publié par Socket.dev le 23 juillet 2025 rapporte une attaque de la chaîne d’approvisionnement ciblant l’organisation GitHub de Toptal. Les attaquants ont publié 10 paquets npm malveillants conçus pour voler des jetons d’authentification GitHub et tenter de détruire les systèmes des victimes.
Ces paquets ont affecté 73 dépôts et ont été téléchargés 5 000 fois, illustrant des techniques d’attaque sophistiquées visant des comptes organisationnels légitimes. Toptal a réagi rapidement en dépréciant les versions malveillantes et en revenant à des versions stables pour limiter les dégâts.
Techniquement, les paquets contenaient des charges destructrices dans les hooks du cycle de vie npm (scripts preinstall/postinstall) exécutant une attaque en deux étapes : d’abord, extraction des jetons GitHub via la commande ‘gh auth token’ et exfiltration vers des endpoints webhook.site, puis tentative de destruction du système de fichiers avec ‘sudo rm -rf –no-preserve-root /’ sur les systèmes Unix et ‘rm /s /q’ sur Windows.
Cette attaque met en lumière une compréhension sophistiquée des mécanismes de packaging npm et des techniques de destruction multiplateformes.
L’article est une analyse technique visant à informer sur les menaces et vulnérabilités liées à la sécurité des chaînes d’approvisionnement logicielles.
🧠 TTP et IOC détecté
TTP
T1195.002 - Compromise Software Supply Chain, T1552.001 - Unsecured Credentials: Credentials In Files, T1070.004 - Indicator Removal on Host: File Deletion, T1562.001 - Impair Defenses: Disable or Modify Tools, T1485 - Data Destruction
IOC
webhook.site
🔗 Source originale : https://socket.dev/blog/toptal-s-github-organization-hijacked-10-malicious-packages-published