Un «ver» persistant dans l'écosystème JavaScript, le suivi des clients de Gucci et d'autres événements de cybersécurité

# Un «ver» résilient dans l'écosystème JavaScript, surveillance des clients de Gucci et d'autres événements de cybersécurité

Nous avons rassemblé les nouvelles les plus importantes du monde de la cybersécurité de la semaine.

• Les développeurs de blockchain deviennent de plus en plus la cible des hackers.
• La police canadienne a saisi plus de 40 millions de dollars en cryptomonnaie.
• L'écosystème JavaScript est attaqué par un "ver" auto-répliquant.
• Une attaque contre l'industrie automobile peut avoir des répercussions sur l'économie du Royaume-Uni.

Les développeurs de blockchain deviennent de plus en plus la cible des hackers

Les développeurs de logiciels attirent de plus en plus les crypto-voyous. Selon les chercheurs en cybersécurité de Koi Security, le groupe de hackers WhiteCobra a attaqué les utilisateurs des environnements de développement VSCode, Cursor et Windsurf. Ils ont publié 24 extensions malveillantes sur la plateforme Visual Studio Marketplace et dans le registre Open VSX.

Une des victimes des « ravageurs » est devenu le développeur clé d'Ethereum, Zak Cole.

J'ai été dans la crypto depuis plus de 10 ans et je n'ai jamais été piraté. Un dossier OpSec parfait.

Hier, mon portefeuille a été vidé par une extension malveillante @cursor_ai pour la première fois.

Si cela peut m'arriver, cela peut vous arriver. Voici une analyse complète. 🧵👇

— zak.eth (@0xzak) 12 août 2025

Selon lui, des cybercriminels ont volé de la cryptomonnaie à l'aide d'un plugin pour l'éditeur de code IA Cursor. Cole a expliqué que l'extension avait toutes les caractéristiques d'un produit inoffensif : un logo professionnellement conçu, une description détaillée et 54 000 téléchargements sur OpenVSX - le registre officiel de Cursor.

Chez Koi Security, nous sommes convaincus que WhiteCobra appartient au même groupe qui a volé des actifs numériques d'une valeur de 500 000 $ à un programmeur blockchain russe en juillet.

«L'interopérabilité et l'absence de vérification appropriée lors de la publication sur ces plateformes les rendent idéales pour les cybercriminels cherchant à mener des campagnes à large échelle», indique le rapport Koi Security.

La vidange du portefeuille commence par l'exécution du fichier principal extension.js, qui est presque identique au modèle standard Hello World fourni avec chaque modèle d'extension VSCode. Ensuite, le malware extrait le spyware en fonction du type de système d'exploitation.

Les acteurs malveillants de WhiteCobra ciblent les détenteurs d'actifs numériques d'une valeur comprise entre $10 000 et $500 000. Les analystes estiment que le groupe est capable de lancer une nouvelle campagne en moins de trois heures.

Exemple d'extension légitime et fausse pour les développeurs. Source : Koi Security. Pour l'instant, il est difficile d'arrêter les malfaiteurs : bien que les plugins malveillants soient supprimés d'OpenVSX, de nouveaux apparaissent immédiatement à leur place.

Les chercheurs recommandent d'essayer d'utiliser uniquement des projets connus avec une bonne réputation et de faire preuve de prudence envers les nouvelles versions qui ont recueilli un grand nombre de téléchargements et d'avis positifs en peu de temps.

La police canadienne a saisi plus de 40 millions $ en cryptomonnaie

La police fédérale du Canada a réalisé la plus grande saisie de cryptomonnaie de l'histoire du pays. C'est ce qu'a souligné le détective on-chain ZachXBT.

Les forces de l'ordre ont saisi sur la plateforme TradeOgre des actifs numériques d'une valeur de plus de 56 millions de dollars canadiens (~40,5 millions de dollars ). La fermeture de la plateforme d'échange de cryptomonnaie est le premier cas de ce type dans l'histoire du pays.

L'enquête a commencé en juin 2024 sur la base d'une information d'Europol. Elle a révélé que la plateforme enfreignait les lois canadiennes et ne s'était pas enregistrée auprès du Centre d'analyse des opérations et des rapports financiers en tant qu'entreprise fournissant des services de change.

Les enquêteurs ont des raisons de croire que la majorité des fonds utilisés pour les opérations sur TradeOgre provenaient de sources criminelles. La plateforme a attiré des malfaiteurs en raison de l'absence d'une identification obligatoire de l'utilisateur.

Selon la déclaration de la police, les données des transactions obtenues auprès de TradeOgre seront analysées pour fournir des accusations. L'enquête se poursuit.

L'écosystème JavaScript est attaqué par un « ver » autoréplicant

Après l'attaque de la plateforme NPM pour l'injection de logiciels malveillants dans des paquets JavaScript, les cybercriminels sont passés à une stratégie de propagation d'un véritable « ver ». L'incident prend de l'ampleur : au moment de la rédaction, plus de 500 paquets NPM compromis sont connus.

La campagne coordonnée Shai-Hulud a commencé le 15 septembre avec la compromission du paquet NPM @ctrl/tinycolor, qui est téléchargé plus de 2 millions de fois par semaine.

Selon les analystes de Truesec, au cours de ces jours, la campagne s'est considérablement étendue et inclut désormais des paquets publiés dans l'espace de noms CrowdStrike.

Selon des experts, les variantes compromises contiennent une fonction qui extrait l'archive tar du paquet, modifie le fichier package.json, injecte un script local, reconstruit l'archive et la republie. Lors de l'installation, un script s'exécute automatiquement, télécharge et exécute TruffleHog — un outil légitime pour scanner les secrets et rechercher des jetons.

Truesec estime que l'attaque se développe de manière significative et devient plus sophistiquée. Bien que les malfaiteurs utilisent de nombreuses anciennes techniques, ils ont considérablement amélioré leur approche, la transformant en un « ver » entièrement autonome. Le logiciel malveillant effectue les actions suivantes :

• collecte des secrets et les révèle publiquement sur GitHub;
• exécute TruffleHog et interroge les points de terminaison des métadonnées du cloud pour extraire des données d'identification sensibles;
• essaie d'intégrer un flux de travail GitHub Actions destiné à exfiltrer des données via webhook.site;
• énumère tous les dépôts GitHub disponibles pour l'utilisateur compromis et les rend publiquement accessibles.

Une caractéristique remarquable de cette attaque est son style. Au lieu de s'appuyer sur un seul objet infecté, elle se propage automatiquement à tous les paquets NPM.

Une attaque contre l'automobile pourrait avoir un impact sur l'économie britannique

Jaguar Land Rover (JLR) ne peut pas relancer sa production pour la troisième semaine consécutive en raison d'une cyberattaque. Le fabricant de voitures de luxe a indiqué que ses chaînes de montage sont arrêtées au moins jusqu'au 24 septembre.

La société a confirmé que des cybercriminels avaient volé des informations de son réseau, mais n'impute pas encore la responsabilité de l'attaque à un groupe de hackers spécifique.

Selon BleepingComputer, un groupe de cybercriminels nommé Scattered Lapsus$ Hunters a revendiqué sa participation à une cyberattaque en publiant des captures d'écran du système interne de JLR sur un canal Telegram. Le message affirme que les pirates ont également déployé un ransomware sur l'infrastructure compromise de l'entreprise.

Selon les estimations de la BBC, chaque semaine d'arrêt coûte à l'entreprise au moins 50 millions de livres sterling (~68 millions de dollars ). De son côté, The Telegraph évalue les pertes pour la même période à environ 100 millions de dollars. Les fournisseurs de JLR s'inquiètent de ne pas pouvoir faire face à cette crise inattendue et craignent la faillite.

Les données secrètes du « Grand pare-feu chinois » ont été rendues publiques

Le 12 septembre, des chercheurs de l'équipe Great Firewall Report ont annoncé la plus grande fuite de données de l'histoire du « Grand pare-feu chinois ».

Environ 600 Go de documents internes, de codes sources et de correspondances internes des développeurs, utilisés pour créer et maintenir le système national chinois de filtrage du trafic, ont été divulgués sur Internet.

Selon les chercheurs, la fuite contient des systèmes complets de construction de plateformes de suivi du trafic, ainsi que des modules responsables de la reconnaissance et du ralentissement de certains outils de contournement des blocages. La majeure partie de la pile est destinée à détecter les VPN interdits en Chine.

Les spécialistes du Great Firewall Report affirment qu'une partie de la documentation est liée à la plateforme Tiangou — un produit commercial destiné à être utilisé par les fournisseurs et les passerelles de frontière. Les experts estiment que les premières itérations du programme étaient déployées sur des serveurs HP et Dell.

De plus, les documents divulgués mentionnent l'installation de ce logiciel dans 26 centres de données en Birmanie. Le système aurait été contrôlé par une société de télécommunications d'État et aurait été intégré aux principaux points d'échange de trafic Internet, ce qui a permis d'effectuer à la fois un blocage massif et un filtrage sélectif.

Selon Wired et Amnesty International, l'infrastructure a également été exportée vers le Pakistan, l'Éthiopie, le Kazakhstan et d'autres pays, où elle est utilisée en conjonction avec d'autres plateformes de surveillance légale du trafic.

Les consommateurs de produits de luxe sur la liste des hackers

Le 15 septembre, le propriétaire de nombreuses marques de luxe, le groupe Kering, a confirmé une fuite de données touchant les clients de ses filiales Gucci, Balenciaga, Alexander McQueen, Yves Saint Laurent.

Selon la BBC, des hackers ont volé des données personnelles, y compris des noms, des adresses e-mail, des numéros de téléphone, des adresses domiciliaires, ainsi que le montant total d'argent dépensé par les clients dans des magasins à travers le monde.

L'attaque serait apparemment orchestrée par le groupe de hackers ShinyHunters, qui affirme avoir volé des données personnelles d'au moins 7 millions de personnes, mais le nombre de victimes est probablement beaucoup plus élevé.

Le groupe est également soupçonné d'être impliqué dans le vol de nombreuses bases de données hébergées sur Salesforce. Plusieurs entreprises, dont Allianz Life, Google, Qantas et Workday, ont confirmé le vol de données suite à ces violations massives.

A lire aussi sur ForkLog :

• CZ a averti sur la menace des « employés sous couverture » de la RPDC.
• La plainte mise à jour révèle des détails sur le piratage de la bourse de bitcoins Coinbase.
• Des tokens DYDX d'une valeur de 26 millions de dollars sont « bloqués » sur le réseau Ethereum.
• Israël a demandé le gel de 1,5 million USDT liés aux terroristes.
• La plus grande réorganisation des blocs en 12 ans a eu lieu dans Monero.
• Le pont Shibarium a été piraté pour ~2,3 millions de dollars.

Que lire le week-end ?

ForkLog a examiné les propositions des Privacy Stewards for Ethereum - une nouvelle équipe au sein de la Fondation Ethereum - et a expliqué comment les employés de l'organisation prévoient d'intégrer la confidentialité à tous les niveaux du réseau, y compris au niveau des applications.