IronWorm : 36 paquets npm infectés dans une attaque de la chaîne d'approvisionnement

Une nouvelle menace pèse sur l'écosystème JavaScript. Les équipes de cybersécurité ont mis au jour une attaque de grande ampleur visant le registre de paquets npm, la plateforme de référence pour la distribution de bibliothèques logicielles en langage JavaScript. Trente-six paquets ont été compromis par un logiciel malveillant inédit, désigné sous le nom de code IronWorm.

Cette opération ne constitue pas un incident isolé. Les chercheurs signalent également l'apparition d'une variante actualisée du ver informatique Miasma, lequel avait déjà ciblé la même infrastructure par le passé. Ces deux campagnes simultanées suggèrent une intensification des activités hostiles tournées vers la chaîne d'approvisionnement du développement logiciel.

Caractéristiques d'IronWorm

Le logiciel malveillant IronWorm a été identifié au sein de plusieurs dizaines de paquets hébergés sur npm. Selon les analyses, ce programme malveillant est conçu pour s'exécuter discrètement lors de l'installation des dépendances par les développeurs. Une fois actif, il peut potentiellement exfiltrer des données sensibles, dérober des identifiants d'accès ou établir une communication persistante avec un serveur de commande et de contrôle.

Les chercheurs soulignent que cette menace s'inscrit dans la continuité des techniques de « typosquatting » et de confusion de dépendances, méthodes qui exploitent des erreurs de frappe ou des noms de paquets très proches de ceux de bibliothèques légitimes pour piéger les développeurs. L'ampleur exacte de la compromission — trente-six paquets — représente un volume significatif pour une attaque unique sur la plateforme.

Parallèle avec le ver Miasma

En parallèle, une nouvelle version du ver Miasma a été repérée. Cette souche de code malveillant se distingue par sa capacité à se propager de manière autonome au sein d'un environnement, en infectant d'autres paquets et systèmes. La coïncidence temporelle entre les deux attaques interroge sur une éventuelle coordination des acteurs malveillants.

Réactions et recommandations

Les autorités en charge de la sécurité des systèmes d'information n'ont pas encore publié de mise à jour officielle de leur catalogue de menaces à ce sujet. Toutefois, les experts en cybersécurité recommandent aux développeurs et aux équipes DevOps de vérifier minutieusement les dépendances de leurs projets, de recourir à des outils d'analyse de composition logicielle (SCA) et de maintenir à jour leurs environnements de développement.

Ils conseillent également de contrôler régulièrement l'intégrité des paquets utilisés et de signaler tout comportement suspect à la plateforme npm. La découverte de ces campagnes illustre une fois de plus la vulnérabilité des chaînes d'approvisionnement logicielles, devenues une cible privilégiée des cyberattaquants.

Contexte plus large

Ces incidents surviennent alors que les attaques contre les registres de paquets se multiplient. Au cours des derniers mois, plusieurs campagnes similaires ont visé npm, PyPI (Python) et RubyGems. La réponse de la communauté open source et des hébergeurs de paquets passe par le renforcement des mécanismes de vérification, l'adoption de signatures numériques et une modération accrue des soumissions. Pour l'heure, aucune information n'a été divulguée concernant l'identité des auteurs présumés de ces attaques.

La campagne malveillante IronWorm frappe trente-six paquets npm

À lire ensuite

Le réacteur nucléaire modulaire d’Antares atteint pour la première fois la criticité aux États-Unis

Armes biologiques et IA : les dirigeants d'OpenAI et d'Anthropic réclament un renforcement des contrôles

Poutine rejette la proposition de paix de Zelensky et ordonne à l’armée de poursuivre les combats

Rachat de SFR : les quatre opérateurs prolongent les négociations jusqu'à dimanche