Alerte critique : attaque massive de la chaîne d’approvisionnement touchant l’écosystème NPM
Plus de 40 paquets npm, dont le paquet populaire @ctrl/tinycolor (plus de 2 millions de téléchargements hebdomadaires), ont été compromis dans le cadre d’une attaque sophistiquée de la chaîne d’approvisionnement. L’attaquant a utilisé un mécanisme d’autopropagation pour infecter les paquets dépendants en aval, entraînant un compromis en cascade. La charge utile est un script empaqueté par Webpack qui vole les informations d’identification de la nuage AWS, GCP, GitHub et d’autres, en établissant une persistance via GitHub Actions. L’attaque a entraîné le vol généralisé d’informations d’identification ; une action immédiate est nécessaire pour vérifier les paquets affectés et faire pivoter toutes les informations d’identification.