par Pendant des mois, un groupe connu sous le nom de TeamPCP a infecté en silence le code open source sur lequel reposent des milliers de sites et d’applications. Plus de 1 000 paquets logiciels piégés, pour un total proche de 500 millions de téléchargements par semaine. Plus de 10 000 victimes revendiquées. Et, curieusement, un butin d’à peine 90 000 dollars.
Ces paquets, ce sont les briques de code que les développeurs récupèrent en libre-service pour construire leurs services en ligne. On les trouve sur des dépôts comme npm, l’immense bibliothèque de modules JavaScript, ou PyPI, son équivalent côté Python. Une mise à jour automatique, et le code piégé s’installe avec, sans que personne s’en aperçoive.
Le profil de l’attaquant intrigue. D’après Google Threat Intelligence, derrière TeamPCP se cacherait un seul individu, basé en Afrique du Sud, qui change de pseudo au gré de ses humeurs : ResoluteXBF, Shinigami. Son but ne serait pas l’argent, mais le chaos et la réputation dans le milieu underground.
L’outil porte un nom de roman, Mini Shai-Hulud, en référence aux vers géants de Dune. C’est un ver informatique : un programme qui se recopie tout seul d’un paquet à l’autre. Une fois en place, il vole les clés d’accès aux comptes cloud chez Amazon, Microsoft ou Google, puis s’en sert pour aller contaminer la cible suivante.
Pour comprendre comment ces attaques fonctionnent vraiment, ce manuel décortique les techniques des pirates.
Sécurité informatique – Ethical Hacking → voir sur Amazon
Lien affilié Amazon. En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.
La liste des touchés a de quoi inquiéter : Bitwarden, Mistral AI, TanStack, UiPath, jusqu’à de grandes banques et des entreprises du Fortune 500. Sur certains paquets très populaires, 84 versions vérolées sont parties en six minutes.
Le 12 mai, TeamPCP a carrément publié le code du ver en open source, avec sa documentation, et promis 1 000 dollars sur un forum pirate pour la plus grosse attaque menée avec. Les clones n’ont pas tardé à arriver.
Le vrai problème tient en un mot : la vitesse. On répète aux entreprises de mettre à jour leurs dépendances au plus vite pour boucher les failles. Sauf qu’à courir, on avale la version piégée avant qu’un humain ait eu le temps de tiquer. Et depuis que l’IA automatise ces mises à jour, il n’y a souvent plus personne dans la boucle.
Plus gênant encore, le groupe a réussi à corrompre des paquets pourtant validés par une attestation SLSA de niveau 3, le tampon censé garantir qu’un logiciel a été fabriqué proprement de bout en bout. Quand même ce label saute, il ne reste plus grand-chose pour faire confiance à un code que plus personne ne lit vraiment.
Crédit photo : Illustration générée par IA
