Pas moins de 18 packages JavaScript, téléchargés plus de deux milliards de fois par semaine, ont été infectés par du code malveillant. Les experts qualifient cette attaque de plus grande faille de sécurité de l'histoire de l'écosystème open source. Les bibliothèques compromises ont été distribuées via npm, l'un des principaux registres de packages de Node.js, et ont atteint des millions de projets à travers le monde. Selon le rapport d'Aikido, les versions infectées des bibliothèques contenaient un fragment de code s'exécutant directement dans le navigateur de l'utilisateur. Le script interceptait les activités liées aux cryptomonnaies et aux protocoles Web3, manipulait les opérations de portefeuille et réécrivait les adresses de destination des transactions. Les fonds des victimes étaient alors crédités sur des comptes contrôlés par l'attaquant au lieu d'atteindre leurs destinataires. Plusieurs monnaies numériques étaient ciblées, notamment Ethereum, Bitcoin, Solana, Tron, Litecoin et Bitcoin Cash.

Les détails de l'incident indiquent que l'attaque n'était pas techniquement sophistiquée. L'administrateur des paquets en question, connu sur Bluesky sous le nom de « bad-at-computer », a reçu un e-mail se faisant passer pour une demande d'assistance npm. Le faux lien a permis aux attaquants de réinitialiser leur sécurité à deux facteurs, leur donnant ainsi un accès complet au compte et la possibilité de publier des versions malveillantes des bibliothèques. En d'autres termes, une attaque mondiale visant des milliards de téléchargements a débuté par un clic sur un e-mail de phishing. Ce n'est pas la première fois que l'écosystème open source est ciblé. En 2016, un incident impliquant la suppression d'un petit paquet de gauche a paralysé des milliers de projets, démontrant la fragilité des infrastructures logicielles. Les années suivantes ont vu d'autres attaques compromettre les comptes des mainteneurs des bibliothèques Python, Ruby et Java.

L'industrie a tenté de réagir en promouvant les nomenclatures logicielles (SBOM) et en exigeant l'utilisation de l'authentification à deux facteurs. Cependant, cette dernière attaque démontre l'insuffisance des mesures actuelles. L'ampleur des dépendances dans le développement logiciel moderne signifie qu'une seule faille dans le processus de publication peut impacter l'ensemble des chaînes d'approvisionnement. Les experts préviennent que cette fois, l'impact s'est limité à des tentatives de vol de cryptomonnaies. Cependant, la facilité avec laquelle des packages aussi répandus ont été infectés démontre le potentiel catastrophique. Avec une intention suffisamment malveillante, des bibliothèques modifiées pourraient être utilisées pour divulguer massivement des données, installer des portes dérobées ou saboter des infrastructures critiques.