Le 08 Septembre 2025, une attaque de chaîne d’approvisionnement logicielle a compromis plusieurs packages populaires de l’écosystème « npm », suite au piratage du compte du responsable des packages, ciblé par une campagne de phishing. L’attaquant a obtenu les identifiants, mot de passe et jeton 2FA via une attaque de type Adversary-in-the-Middle (AitM), lui permettant de publier des versions malveillantes de 20 packages largement utilisés, représentant ensemble plus de 2 milliards de téléchargements hebdomadaires.

Le code injecté agit comme un intercepteur de transactions dans les navigateurs, en surveillant et en modifiant les appels effectués via (window.fetch, XMLHttpRequest ou encore window.ethereum.request). Ce mécanisme détourne les adresses de portefeuilles numériques pour rediriger les fonds vers ceux de l’attaquant. L’attaque cible principalement les utilisateurs finaux connectant un portefeuille crypto à une application intégrant un package compromis.

Les applications intégrant ces dépendances compromises peuvent devenir des vecteurs d’intrusion, permettant l’installation des backdoors, le vol de clés API ou l’exfiltration de données sensibles. Il est donc vivement recommandé aux utilisateurs de mettre à jour toute solution reposant sur les versions vulnérables des packages, d’auditer leurs pipelines et de renforcer la surveillance afin de détecter tout comportement anormal dans les environnements concernés.

Indicateurs de compromission (IOCs):

Packages npm malveillants: 

Fichiers et chemins suspects: