L’agence de sécurité en ligne de Google, Mandiant, confirme que des pirates nord-coréens présumés sont responsables de l’attaque de la chaîne d’approvisionnement axios survenue ce mardi. Les attaquants ont compromis le compte du développeur qui gère le logiciel open source axios et, pendant une fenêtre d’environ trois heures mardi matin, ont diffusé des mises à jour malveillantes à toutes les organisations ayant téléchargé ce logiciel, dans le but de voler des actifs cryptés d’entreprises afin de financer les programmes d’armes nucléaires et de missiles de la Corée du Nord.
Détails de l’exécution de l’attaque : un tir précis sur la chaîne d’approvisionnement en trois heures
L’action des pirates illustre l’efficacité élevée des attaques par chaîne d’approvisionnement. Les attaquants ont d’abord obtenu le contrôle du compte du développeur du logiciel open source axios, puis ont, aussitôt, diffusé sous une apparence de mise à jour officielle la version contenant un code malveillant, en utilisant une identité légitime. Pendant cette fenêtre de trois heures, n’importe quel système automatisé d’une organisation, lorsqu’il effectue des mises à jour de routine, déploiera — sans le savoir — cette version dotée d’une porte dérobée.
Ben Read, responsable stratégique de la menace chez Wiz, filiale de Google, a déclaré : « La Corée du Nord ne craint pas sa réputation ni l’identification finale, donc, même si ces actions attirent beaucoup l’attention, ils sont tout de même prêts à payer ce prix. »
John Hammond, chercheur en sécurité chez Huntress, a ajouté que le moment choisi était « parfaitement opportun », soulignant que les organisations adoptent massivement des agents IA pour le développement de logiciels, « sans aucun contrôle ni contrainte », ce qui rend les failles de la chaîne d’approvisionnement plus faciles à exploiter de manière systématique.
Résultats de l’enquête : ampleur des victimes et orientations futures des attaques
À ce stade, l’enquête met en évidence une menace multidimensionnelle :
Équipements touchés : Huntress a identifié environ 135 équipements compromis, relevant d’environ 12 entreprises, et estime qu’il ne s’agit que d’une petite partie de l’ampleur réelle des victimes
Délai d’évaluation : Le CTO de Mandiant, Charles Carmakal, avertit qu’une évaluation complète de l’impact de cette attaque pourrait nécessiter plusieurs mois
Orientation de la prochaine attaque : Mandiant s’attend à ce que les attaquants utilisent les identifiants dérobés et les droits d’accès aux systèmes pour cibler davantage les actifs cryptés des entreprises afin de les voler
Vulnérabilités de la chaîne d’approvisionnement : Hammond indique que « trop de personnes ne s’intéressent plus aux composants du logiciel qu’elles utilisent, ce qui crée une énorme faille pour l’ensemble de la chaîne d’approvisionnement »
Contexte historique : une montée en puissance systématique du vol numérique nord-coréen
Cette attaque contre axios constitue le dernier exemple d’une pénétration systématique de la chaîne d’approvisionnement logicielle par Pyongyang. Il y a trois ans, des agents nord-coréens présumés auraient infiltré un autre fournisseur de logiciels de voix et vidéo largement populaire ; l’an dernier, des pirates nord-coréens ont volé, lors d’une seule attaque, des crypto-monnaies d’une valeur de 1,5 milliard de dollars, établissant alors un record historique pour les affaires de piratage de crypto.
Des rapports des Nations unies et de plusieurs institutions privées montrent que, au cours des dernières années, les pirates nord-coréens ont dérobé des dizaines de milliards de dollars à des banques et à des sociétés de crypto-monnaies. En 2023, des responsables de la Maison-Blanche ont divulgué que, pour le programme de missiles de la Corée du Nord, environ la moitié des fonds provient de ce type de vol numérique, conférant à cette menace de sécurité une portée stratégique internationale directe.
FAQ
Qu’est-ce qu’axios et pourquoi est-il devenu la cible de cette attaque sur la chaîne d’approvisionnement ?
axios est un package JavaScript npm essentiel largement utilisé (la version attaquée est la 1.14.1). Il aide les développeurs à gérer les requêtes HTTP des sites web et est adopté par des milliers d’entreprises du secteur médical, financier et technologique. Son volume de téléchargements très élevé en fait une cible à forte valeur pour les attaques de chaîne d’approvisionnement : en compromettant un compte de développeur, il est possible de pousser simultanément du code malveillant à un grand nombre d’organisations en aval en quelques heures.
Quelles sont les risques concrets pour les entreprises de crypto-monnaie ?
L’évaluation de Mandiant indique que les attaquants utiliseront les identifiants dérobés pour infiltrer davantage les entreprises détenant des actifs cryptés. Pour les sociétés de crypto et les entreprises technologiques utilisant une version infectée d’axios, il est possible qu’elles aient déjà, sans le savoir, fourni aux attaquants une porte dérobée permettant d’accéder à leurs systèmes internes, exposant ainsi les clés privées de portefeuille, les clés API et les identifiants de transaction à un vol.
Comment les entreprises devraient-elles évaluer et réagir à cette attaque de chaîne d’approvisionnement axios ?
Il est recommandé d’exécuter immédiatement les étapes suivantes : vérifier si la version d’axios présente dans le système correspond à la version attaquée ; examiner les journaux de mise à jour pendant la période de l’attaque (la fenêtre de trois heures mardi matin) ; scanner s’il existe un accès anormal aux identifiants ou des comportements de connexion externes ; puis contacter des organismes de sécurité tels que Huntress et Mandiant pour une évaluation professionnelle.
