Bitget App
Trade smarter
Acheter des cryptosMarchésTradingFuturesEarnCommunautéPlus
npm renforce les autorisations des jetons face aux attaques, les experts en sécurité Web3 remettent en question l’insuffisance des mesures

npm renforce les autorisations des jetons face aux attaques, les experts en sécurité Web3 remettent en question l’insuffisance des mesures

币界网币界网2026/07/04 15:24
Afficher le texte d'origine
Par:币界网

npm a commencé à resserrer l'accès aux jetons à privilèges élevés afin de répondre à la récente attaque de la chaîne d'approvisionnement “Mini Shai-Hulud” touchant les développeurs Web3. La plateforme a révoqué les jetons d'accès granulaires avec droits d'écriture et demande aux utilisateurs de changer immédiatement leurs clés, en passant au mécanisme de publication Trusted Publishing.

La plateforme initie des mesures

L'objectif direct de ce changement est de freiner la dernière propagation de ce programme malveillant. Les attaquants avaient précédemment utilisé des jetons d'écriture pour contourner la double authentification et publier des packages malveillants dans le registre npm ou polluer des versions de packages existantes.

Cependant, plusieurs chercheurs en sécurité estiment que l'action de npm arrive trop tard et se concentre surtout sur la limitation de la propagation future, sans traiter le code malveillant déjà implanté sur les appareils des développeurs.

Les environnements infectés pourraient continuer à divulguer des données

Les chercheurs indiquent que la révocation des jetons peut effectivement réduire l'arrivée de nouvelles versions malveillantes, mais l'aide apportée aux environnements de développement déjà infectés reste limitée. Ce ver s'insère dans la configuration des IDE et des assistants AI, se déclenchant chaque fois que le développeur utilise les outils associés.

Cela signifie que, même si le développeur supprime les fichiers de projet ou nettoie le dossier node_modules, le script malveillant pourrait réinfecter l'environnement lors d'opérations ultérieures et continuer à dérober des informations sensibles.

Les cibles de l’attaque incluent les identifiants cloud et les phrases mnémoniques de portefeuille

Les descriptions publiques montrent que ce type de programme malveillant ne se contente pas de dérober les identifiants de développement habituels, mais collecte aussi les identifiants AWS et les phrases mnémoniques de portefeuilles crypto, des données de grande valeur. Ces informations sont ensuite exfiltrées via l’API officielle de GitHub, rendant le trafic plus semblable à une activité normale de développement et rendant la détection plus difficile.

  • L’attaquant a pris le contrôle du compte npm légitime atool
  • 637 versions malveillantes publiées en 27 minutes
  • Concerne 323 packages, avec environ 16 millions de téléchargements hebdomadaires

La communauté de sécurité critique la réaction trop passive

Taylor Monahan, principale chercheuse en sécurité chez MetaMask, et d'autres, critiquent le fait que l'approche actuelle de la plateforme consiste davantage à confirmer l'ampleur du problème qu’à éliminer l'infection en elle-même. Un autre chercheur souligne qu'un simple blocage des accès ne remplace pas une analyse et un nettoyage complet des comportements malveillants.

Pour les équipes Web3, cet incident démontre une nouvelle fois que la chaîne d’outils de développement est devenue une porte d’entrée à haut risque. Surtout depuis que les assistants de codage AI sont largement intégrés dans les workflows quotidiens, une infection au niveau de la configuration peut toucher bien plus qu’un seul projet.

0
0

Avertissement : le contenu de cet article reflète uniquement le point de vue de l'auteur et ne représente en aucun cas la plateforme. Cet article n'est pas destiné à servir de référence pour prendre des décisions d'investissement.

PoolX : Bloquez vos actifs pour gagner de nouveaux tokens
Jusqu'à 12% d'APR. Gagnez plus d'airdrops en bloquant davantage.
Bloquez maintenant !
Bitget© 2026