Source: Snyk — Billet d’alerte et suivi d’incident décrivant une attaque de la supply chain npm consécutive à la compromission par phishing d’un mainteneur open source (~qix), avec chronologie, IoC et conseils de vérification.

— Contexte et fait principal — Un développeur open source très en vue, ~qix, a été victime d’un phishing envoyé depuis l’adresse « support@npmjs.help ». L’attaquant a pris le contrôle de son compte npm, lui permettant de publier des versions malveillantes de paquets populaires auxquels il avait des droits.

— Mécanisme de l’attaque —

  • Technique: Ingénierie sociale / phishing conduisant à un account takeover.
  • Action: Injection de code malveillant dans des paquets npm, puis publication de nouvelles versions compromises.
  • Payload: Le code malveillant s’exécute dans le navigateur, détecte la présence d’un wallet Web3, intercepte et modifie les transactions avec valeur en ETH, en les redirigeant vers une adresse contrôlée par l’attaquant; il écoute aussi les transactions de swap/transfer pour les altérer.

— Impact et périmètre —

  • Cible: Portefeuilles crypto accessibles via le navigateur des utilisateurs.
  • Objectif: Détournement de fonds en redirigeant transactions et approbations signées.
  • Portée: Un seul mainteneur ciblé est confirmé à ce stade; des mises à jour ultérieures mentionnent de nouveaux paquets impactés (ajoutés le 9 septembre).

— Chronologie (UTC) —

  • ~13:00: Première vague de paquets compromis publiée.
  • 14:16: Alerte au développeur sur Blue Sky.
  • 15:16: Confirmation de la compromission par le développeur; npm alerté.
  • 17:17: npm confirme la brèche et travaille au retrait des paquets.
  • 19:59: npm indique que toutes les versions impactées ont été retirées.

— IoC et TTP —

  • IoC code: présence de la chaîne « _0x112fa8 » dans des fichiers JavaScript.
  • Commande de détection (ripgrep): « brew install rg » puis « rg -uu –max-columns=80 –glob ‘*.js’ _0x112fa8 ».
  • Leurre de phishing: email provenant de support@npmjs.help.
  • TTP: phishing, prise de contrôle de compte, injection de versions malveillantes sur npm, hook activé en présence de wallet Web3, man-in-the-browser sur transactions ETH et opérations swap/transfer.

— Suivi et outils mentionnés —

  • Suivi des mises à jour du billet Snyk et de Qix sur GitHub/Blue Sky.
  • Pour les utilisateurs Snyk: usages de Snyk SCA et Snyk SBOM, re-test si nécessaire, et re-monitoring des projets CLI.

Type d’article: rapport d’incident / alerte de sécurité visant à informer sur la compromission d’un mainteneur npm, documenter les IoC/TTP et suivre la remédiation.

🔗 Source originale : https://snyk.io/fr/blog/npm-supply-chain-attack-via-open-source-maintainer-compromise/