Source: AWS Security Blog (13 nov. 2025). Des chercheurs d’Amazon Inspector ont découvert plus de 150 000 paquets npm liés à une campagne coordonnée de « token farming » associée à tea.xyz, dépassant largement les 15 000 paquets initialement signalés par Sonatype en avril 2024. L’équipe a utilisé une détection hybride (règles + IA) pour mettre en évidence un schéma d’attaque auto-réplicant visant des gains financiers.
🚨 Nature et impact: Contrairement aux malwares classiques, ces paquets ne contiennent pas de code explicitement malveillant mais exploitent le mécanisme de récompense de tea.xyz en gonflant artificiellement les métriques via réplication et chaînes de dépendances. Les risques clés sont: pollution des registres (npm saturé de paquets non fonctionnels), exploitation des ressources (infrastructure/bande passante/stockage), effet de précédent (incitation à copier le modèle), et risques supply chain (dépendances inutiles et comportements inattendus).
🔎 Détection et collaboration: Le 24 oct. 2025, de nouvelles règles appuyées par l’IA ont été déployées; d’ici le 7 nov., des milliers de paquets liés au protocole tea.xyz étaient signalés. Le 8 nov., Amazon Inspector a coordonné avec l’OpenSSF pour partager les résultats et attribuer rapidement des MAL-IDs (délai moyen 30 minutes). L’opération, poursuivie jusqu’au 12 nov., a catalogué plus de 150 000 paquets. Ce travail conjoint améliore les standards de détection et la réponse communautaire.
🧩 Indicateurs et TTPs
- IOCs (patterns observables): présence systématique de fichiers tea.yaml liant les paquets à des adresses de portefeuilles blockchain; paquets liés au protocole tea.xyz.
- TTPs: automatisation auto-réplicante, code minimal/dupliqué sans fonctionnalité originale, schémas de nommage prévisibles, chaînes de dépendances circulaires, publication coordonnée via plusieurs comptes développeur.
🛠️ Réponse mentionnée dans l’article: suivre le processus d’incident standard; balayer les environnements de développement; utiliser Amazon Inspector pour identifier les paquets liés au token farming tea.xyz et appliquer les remédiations; auditer et retirer les paquets de faible qualité; durcir la supply chain (SBOMs, verrouillage des versions, isolation des environnements CI/CD). Il s’agit d’une analyse de menace publiée pour informer la communauté et coordonner une réponse rapide face à un vecteur d’attaque émergent.
🧠 TTPs et IOCs détectés
TTPs
automatisation auto-réplicante, code minimal/dupliqué sans fonctionnalité originale, schémas de nommage prévisibles, chaînes de dépendances circulaires, publication coordonnée via plusieurs comptes développeur
IOCs
présence systématique de fichiers tea.yaml liant les paquets à des adresses de portefeuilles blockchain, paquets liés au protocole tea.xyz
🔗 Source originale : https://aws.amazon.com/fr/blogs/security/amazon-inspector-detects-over-150000-malicious-packages-linked-to-token-farming-campaign/