Récemment, l’équipe de sécurité de la société npm, en collaboration avec Komodo, a rapporté avoir aidé à protéger plus de 13 millions de dollars américains en actifs de cryptomonnaie. Elle a affirmé avoir découvert et déjoué une attaque qui ciblait les utilisateurs du portefeuille numérique Agama.
Pour rappel, le terme npm fait référence au gestionnaire de paquets pour Node.js. Il a été créé en 2009 en tant que projet open source pour aider les développeurs JavaScript à partager facilement des modules de code fournis. Il désigne également le client en ligne de commande qui permet aux développeurs d’installer et de publier ces packages. C’est la société npm inc., fondée en 2014, qui héberge et gère tout ce qui précède. Elle se consacre au succès à long terme de la communauté JavaScript.
Agama, pour sa part, est un « multiwallet » fourni par le projet SuperNet, propriété de Komodo, qui permet aux utilisateurs de détenir et de manipuler plusieurs monnaies cryptographiques en choisissant comment ils veulent gérer leur sécurité. Les portefeuilles numériques comme Agama sont des plateformes sécurisées qui permettent de stocker des jetons (la cryptomonnaie) de manière décentralisée. Ils sont conçus pour isoler les avoirs du réseau et protéger les utilisateurs contre d’éventuelles attaques.
La cyberattaque découverte par npm visait principalement à introduire un paquet malveillant au sein d’Agama afin de subtiliser les seeds (ou graines ou passphrases) du portefeuille numérirque. Une seed est une valeur aléatoire de 128 bits en général composé de 12 à 24 mots. Elle permet à l’utilisateur de garder le contrôle sur ses cryptomonnaies, de sauvegarder et de restaurer son portefeuille si nécessaire. La cyberattaque a été menée en publiant un paquet « utile » (electron-native-notify) vers npm. L’attaquant (apparemment un utilisateur de la plateforme GitHub se faisant passer pour « sawlysawly ») n’avait plus qu’à attendre que le paquet soit utilisé par la cible avant de le mettre à jour pour inclure un contenu malveillant.
Sur son site, Npm a assuré que « après avoir été informés de cette menace par nos outils de sécurité internes, nous avons réagi en notifiant et en nous coordonnant avec Komodo afin de protéger leurs utilisateurs et de supprimer les logiciels malveillants de npm ». Les utilisateurs de npm devraient être automatiquement avertis via « npm audit » s’ils rencontrent cette dépendance malveillante dans leurs projets. Komodo de son côté fournit des conseils concernant la marche à suivre si vous étiez un utilisateur du portefeuille Agama.
Source : npm