Selon Varonis, une attaque de chaîne d’approvisionnement a compromis 20 packages npm populaires totalisant 2,67 milliards de téléchargements hebdomadaires, grâce à une campagne de phishing améliorée par IA visant les mainteneurs. L’infrastructure d’email « propre » et des contenus professionnels ont aidé à contourner les défenses classiques, permettant l’injection d’un malware de détournement de portefeuilles à travers six réseaux blockchain.

Côté technique, le malware implémente un intercepteur côté navigateur qui accroche des API Web critiques (fetch(), XMLHttpRequest, window.ethereum.request()) pour réécrire silencieusement des transactions. Il cible Ethereum, Bitcoin, Solana, Tron, Litecoin et Bitcoin Cash, recourt à des regex et contient 280 adresses de portefeuilles attaquants codées en dur. Le code inspecte en temps réel les payloads, utilise la distance de Levenshtein pour substituer des adresses lookalike et manipule des interactions DEX sur Uniswap et PancakeSwap.

Le vol d’identifiants est opéré via manipulation du DOM afin de capturer noms d’utilisateur, mots de passe, tokens 2FA et codes de récupération, exfiltrés vers websocket-api2.publicvm.com. 🕵️‍♂️

La campagne illustre l’évolution du phishing au-delà des méthodes de détection traditionnelles, mettant en avant la nécessité d’analyses contextuelles pilotées par l’IA pour une défense efficace.

Type d’article: analyse de menace visant à détailler le mode opératoire, la portée et les capacités techniques du malware dans cette campagne de supply chain.

🧠 TTPs et IOCs détectés

TTPs

T1195.002, T1566, T1203, T1556.004, T1557.002, T1071.001, T1036.005, T1059.007, T1027.002

IOCs

websocket-api2.publicvm.com

🔗 Source originale : https://www.varonis.com/blog/npm-hijacking

🖴 Archive : https://web.archive.org/web/20250910202747/https://www.varonis.com/blog/npm-hijacking