Une série d'attaques sophistiquées visant la chaîne d'approvisionnement logicielle a compromis des dizaines de projets open source populaires, menaçant les développeurs du monde entier. Ce mardi, les sociétés de cybersécurité StepSecurity et SafeDep ont alerté la communauté sur cette nouvelle vague d'intrusions, connue sous le nom de campagne "Mini Shai-Hulud". L'objectif de ces attaques est de prendre le contrôle des comptes de développeurs pour injecter des versions malveillantes de leurs paquets, qui seront ensuite distribuées automatiquement à tous les utilisateurs finaux via les mises à jour. Selon les enquêteurs de SafeDep, le scénario d'attaque s'est déroulé avec une rapidité alarmante : en l'espace de vingt minutes, les pirates ont pris possession d'un seul compte développeur et publié plus de 630 versions infectées couvrant 317 paquets distincts. Ces versions corrompues contiennent du code malveillant conçu pour voler des informations d'identification, notamment des mots de passe de gestionnaires de mots de passe et des données sensibles, afin de faciliter la propagation de la malicieuse et l'accès à d'autres services. Parmi les projets affectés figurent Antv, une bibliothèque de visualisation de données développée par Alibaba. JFrog Security a confirmé que dans certains cas, les mises à jour malveillantes ont été directement publiées sur la plateforme GitHub, compromettant la confiance dans le dépôt de code. Cette campagne de "Mini Shai-Hulud" fait suite à une attaque plus large et plus ancienne, et illustre une tendance croissante où les pirates ciblent directement les auteurs de logiciels open source pour atteindre une chaîne de distribution massive. L'impact de ces intrusions s'étend au-delà des simples mises à jour. La semaine dernière, dans le cadre de cette même opération, les pirates ont compromis les ordinateurs de deux employés d'OpenAI. Cette intrusion avait pour point d'entrée la bibliothèque open source TanStack, démontrant comment la compromission d'un outil apparemment mineur peut mener à une infiltration dans des organisations de premier plan. OpenAI n'était qu'une victime parmi plusieurs autres, soulignant la portée transverse et sévère de cette cyber-offensive. Ces événements mettent en lumière la vulnérabilité inhérente à la dépendance mondiale au logiciel open source. Lorsque les outils essentiels utilisés pour construire les systèmes modernes sont contaminés, les dommages peuvent être dévastateurs et s'étendre à des millions d'utilisateurs en quelques minutes. La rapidité avec laquelle les attaquants ont opéré, en publiant des centaines de versions malveillantes en moins d'une demi-heure, souligne l'urgence pour les entreprises et les développeurs de renforcer leurs mécanismes de vérification et d'authentification. Les experts recommandent désormais une surveillance accrue des mises à jour et l'utilisation d'outils de sécurité spécifiques pour détecter les anomalies dans les paquets téléchargés.