Les attaques les plus marquantes contre la chaîne d’approvisionnement en 2025

Depuis des années, les attaques contre la chaîne d’approvisionnement constituent l’une des catégories d’incidents de cybersécurité les plus dangereuses. Et si l’année 2025 nous a appris quelque chose, c’est que les cybercriminels redoublent d’efforts dans ce domaine. Dans cette analyse approfondie, nous nous penchons sur les attaques contre la chaîne d’approvisionnement survenues en 2025 qui, sans être toujours les plus coûteuses, ont certainement été parmi les plus inhabituelles et ont retenu l’attention du secteur.

Janvier 2025 : un virus RAT découvert dans le dépôt GitHub de DogWifTools

Pour « s’échauffer » après les vacances, les cybercriminels ont introduit des portes dérobées de manière méthodique dans plusieurs versions de DogWifTools. Il s’agit d’un outil conçu pour lancer et promouvoir activement des meme coins de l’écosystème Solana sur la plateforme Pump.fun. Après avoir compromis le dépôt GitHub privé de DogWifTools, les pirates ont attendu que les développeurs chargent une nouvelle version, y ont injecté un RAT, puis ont remplacé le programme légitime par leur version malveillante quelques heures plus tard. Selon les développeurs, les cybercriminels sont parvenus à introduire un cheval de Troie dans les versions 1.6.3 à 1.6.6 de DogWifTools pour Windows.

La phase finale a été déclenchée fin janvier. Après avoir utilisé le virus RAT pour collecter une quantité considérable de données sur les appareils infectés, les pirates ont vidé les portefeuilles de cryptomonnaies de leurs victimes. Alors que les victimes estiment le butin total à plus de 10 millions de dollars américains en cryptomonnaies, les pirates ont contesté ce chiffre, sans toutefois révéler le montant exact de leur gain.

Février 2025 : le vol de 1,5 milliard de dollars sur Bybit

Si janvier était un échauffement, février a été un véritable désastre. Le piratage de la plateforme d’échange de cryptomonnaies Bybit a complètement surpassé les incidents précédents, devenant ainsi le plus gros vol de cryptomonnaies de l’histoire. Les pirates ont réussi à compromettre Safe{Wallet}, la solution de stockage à froid multisignature utilisée par la plateforme d’échange pour gérer ses actifs.

Les employés de Bybit pensaient signer une transaction courante, alors qu’en réalité, ils autorisaient un contrat intelligent malveillant. Une fois l’attaque lancée, le contrat a vidé un portefeuille froid principal, et les fonds ont été dispersés entre plusieurs centaines d’adresses contrôlées par les cybercriminels. Le butin final a dépassé les 400 000 ETH/stETH, pour une valeur totale stupéfiante d’environ… 1,5 milliard de dollars américains !

Mars 2025 : Coinbase victime d’une attaque en cascade via GitHub Actions

Le printemps 2025 a débuté par une attaque complexe qui utilisait comme principal vecteur de propagation la compromission de plusieurs GitHub Actions (modèles de workflow servant à automatiser les tâches DevOps standard). Tout a commencé par le vol d’un jeton d’accès personnel appartenant à un responsable de maintenance de l’outil d’analyse SpotBugs. Grâce à ce point d’ancrage, les pirates ont lancé un processus malveillant et ont réussi à détourner un jeton appartenant à un responsable de maintenance du workflow reviewdog/action-setup, impliqué lui aussi dans le projet.

De là, ils ont compromis une dépendance, le workflow tj-actions/changed-files, en le modifiant pour qu’il exécute un script Python malveillant. Ce script a été conçu pour rechercher des secrets de grande valeur, comme les clés AWS, Azure et Google Cloud, les jetons GitHub et NPM, les identifiants de base de données et les clés privées RSA. Curieusement, le script a enregistré toutes les informations qu’il a trouvées directement dans des journaux de compilation publiquement accessibles. Autrement dit, les données divulguées n’étaient pas seulement accessibles aux pirates, mais aussi à toute personne suffisamment avertie pour les consulter.

L’objectif initial de cette opération était un dépôt appartenant à la plateforme d’échange de cryptomonnaies Coinbase. Heureusement, les développeurs ont détecté la menace à temps et ont empêché la compromission. Après avoir vraisemblablement réalisé qu’ils étaient sur le point de perdre le contrôle du pipeline tj-actions/changed-files, les pirates ont opté pour une stratégie de type spray-and-pray. Ce faisant, ils ont exposé 23 000 dépôts à un risque de fuite de secrets. Au final, plusieurs centaines d’identifiants de ces dépôts ont été rendus publics.

Avril 2025 : une porte dérobée dans 21 extensions Magento

En avril, une infection a été découverte dans toute une série d’extensions destinées à Magento, l’une des plateformes les plus populaires pour la création de boutiques en ligne. La porte dérobée a été intégrée dans 21 modules développés par trois fournisseurs : Tigren, Meetanshi et MGS. Ces extensions faisaient partie de l’infrastructure de plusieurs centaines d’entreprises de commerce en ligne, dont au moins une multinationale.

Selon les chercheurs qui l’ont découverte, cette porte dérobée avait en réalité été mise en place depuis 2019. En avril 2025, les pirates ont finalement exploité cette faille pour compromettre des sites Internet et y charger des shells Web. Pour ce faire, ils ont utilisé une fonction intégrée aux extensions qui exécutait du code arbitraire extrait d’un fichier de licence.

Ironiquement, parmi les modules infectés figuraient MGS RGPD et Meetanshi CookieNotice. Comme leur nom l’indique, ces extensions ont été conçues pour aider les sites Internet à respecter les réglementations en matière de confidentialité des utilisateurs et de traitement des données. Au final, au lieu de préserver la confidentialité, leur utilisation a très probablement conduit au vol de données utilisateur et d’actifs financiers par le biais d’attaques par skimming.

Mai 2025 : des ransomwares diffusés via un MSP compromis

En mai, des cybercriminels du groupe DragonForce ont réussi à s’introduire dans l’infrastructure d’un fournisseur de services managés (MSP) dont le nom n’a pas été divulgué, et l’ont utilisée pour diffuser leurs ransomwares et dérober des données appartenant aux entreprises clientes de ce MSP.

Il semblerait que les pirates aient exploité plusieurs vulnérabilités (dont une de gravité critique) dans SimpleHelp, l’outil de surveillance et de gestion à distance utilisé par le MSP. Ces vulnérabilités ont été découvertes en 2024 et ont été rendues publiques et corrigées en janvier 2025. Malheureusement, le MSP a manifestement décidé de ne pas précipiter le processus de mise à jour – une décision dont le groupe derrière le ransomware s’est empressé de profiter.

Juin 2025 : une porte dérobée dans plus d’une dizaine de paquets npm populaires

Au début de l’été, des pirates ont piraté le compte de l’un des responsables de la bibliothèque Gluestack et se sont servis d’un jeton d’accès volé pour injecter des portes dérobées dans 17 paquets npm. Le plus populaire de ces paquets, @react-native-aria/interactions, affichait 125 000 téléchargements hebdomadaires, tandis que l’ensemble des paquets compromis totalisait plus d’un million.

Ce qui est particulièrement intéressant dans ce cas, ce sont les mesures prises par les développeurs de Gluestack à la suite de l’incident : ils ont d’abord restreint l’accès au dépôt GitHub pour les contributeurs secondaires, puis ils ont activé l’authentification à deux facteurs (2FA) pour la publication de nouvelles versions, et enfin, ils se sont engagés à mettre en œuvre des pratiques de développement sécurisées, comme un workflow basé sur les « pull requests », des revues de code systématiques, la journalisation des audits, etc. Autrement dit, avant l’incident, un projet comptant des centaines de milliers de téléchargements par semaine ne prévoyait aucune disposition de ce type.

Juillet 2025 : des paquets npm populaires infectés à la suite d’une attaque par phishing

En juillet, les paquets npm ont une nouvelle fois été à l’honneur, notamment le très populaire paquet « is », au nom on ne peut plus succinct, qui affiche 2,7 millions de téléchargements hebdomadaires. Cette bibliothèque d’utilitaires JavaScript propose un large éventail de fonctions de vérification des types et de validation des valeurs. Pour mener une attaque de phishing contre l’un des responsables du projet, les pirates ont eu recours à l’astuce la plus classique qui soit : le typosquattage (en utilisant le domaine npnjs.com à la place de npmjs.com) et un clone du site officiel de l’écosystème npm.

Ils ont ensuite profité du compte compromis pour publier plusieurs de leurs propres versions du paquet, qui contenaient une porte dérobée. L’infection est passée inaperçue pendant six heures : suffisamment de temps pour qu’un grand nombre de développeurs téléchargent les paquets npm malveillants.

La même technique de phishing a également été utilisée contre d’autres développeurs. Les pirates ont exploité plusieurs comptes de développeurs compromis pour diffuser différentes variantes de leur charge malveillante. Il y a également de fortes raisons de penser qu’ils auraient conservé une partie de leur butin pour de futures attaques.

Août 2025 : l’attaque  » s1ngularity  » et la fuite de centaines de secrets de développeurs

Fin août, un incident baptisé « s1ngularity » est venu s’ajouter à la série d’attaques visant les développeurs JavaScript. Des pirates ont compromis Nx, un système populaire de compilation et un outil d’optimisation des pipelines CI/CD. Le code malveillant injecté dans les paquets a parcouru les systèmes des développeurs infectés à la recherche d’une multitude de données sensibles, comme les clés de portefeuilles de cryptomonnaies, les jetons npm et GitHub, les clés SSH, les clés API, etc.

Il est intéressant de noter que les pirates ont utilisé des outils d’IA installés localement, comme Claude Code, Gemini CLI et Amazon Q, pour récupérer les secrets stockés sur les machines des victimes. Tout ce qu’ils ont trouvé a ensuite été publié dans des dépôts GitHub publics créés au nom des victimes, sous les appellations « s1ngularity-repository », « s1ngularity-repository-0 » et « s1ngularity-repository-1 ». Comme vous l’avez sans doute deviné, c’est de là que vient le nom de cette attaque.

En conséquence, les données personnelles de centaines de développeurs se sont retrouvées exposées aux regards de tous, accessibles non seulement aux pirates, mais aussi à n’importe qui disposant d’une connexion Internet.

Septembre 2025 : un programme de vol de cryptomonnaies touche des paquets npm qui totalisent 2,6 milliards de téléchargements hebdomadaires

La vague de compromissions de paquets npm s’est poursuivie en septembre. À la suite d’une nouvelle campagne de phishing visant les développeurs JavaScript, des pirates ont réussi à injecter du code malveillant dans plusieurs dizaines de projets de grande envergure. Certains d’entre eux, notamment « chalk » et « debug », comptent des centaines de millions de téléchargements hebdomadaires. Au total, les paquets infectés totalisaient plus de 2,6 milliards de téléchargements par semaine au moment de la violation, et leur popularité n’a cessé de croître depuis lors.

La charge utile était un voleur de cryptomonnaies : un programme malveillant conçu pour intercepter les transactions en cryptomonnaies et les rediriger vers les portefeuilles des pirates. Heureusement, bien qu’ils aient réussi à saboter certains des projets les plus populaires au monde, les pirates ont réussi à gâcher la dernière étape de leur opération. Ils sont finalement repartis avec la maigre somme de 925 dollars américains.

À peine une semaine plus tard, un autre incident majeur s’est produit : la première vague du virus autopropagateur Shai-Hulud, qui a infecté environ 150 paquets npm, y compris des projets de CrowdStrike. Cependant, la deuxième vague, qui a frappé quelques mois plus tard, s’est avérée bien plus destructrice. Nous reviendrons plus en détail sur le Grand Ver un peu plus loin.

Octobre 2025 : GlassWorm infecte l’écosystème de Visual Studio Code

Environ un mois après l’attaque Shai-Hulud, un programme malveillant similaire, capable de se propager de manière autonome et baptisé GlassWorm, s’est mis à infecter les extensions de Visual Studio Code disponibles à la fois sur la plateforme Open VSX Registry et dans la boutique Microsoft Extension Marketplace. Les pirates recherchaient des comptes GitHub, Git, npm et OpenVSX, ainsi que des clés de portefeuilles de cryptomonnaies.

Les créateurs de GlassWorm ont adopté une approche très créative pour leur infrastructure de commande et de contrôle : ils ont utilisé un portefeuille de cryptomonnaies sur la blockchain Solana comme principal canal de communication C2, avec Google Agenda comme canal de communication de secours.

En plus de vider les portefeuilles de cryptomonnaies des victimes et de pirater leurs comptes pour continuer à propager le ver, les pirates ont également déployé un virus RAT appelé Zombi sur les appareils infectés, ce qui leur a accordé un contrôle total sur les systèmes compromis.

Novembre 2025 : la campagne IndonesianFoods et 150 000 paquets indésirables sur l’écosystème npm

En novembre, une nouvelle menace est apparue au sein du registre npm. Une campagne malveillante coordonnée, baptisée IndonesianFoods, consistait à inonder le registre de dizaines de milliers de paquets inutiles.

L’objectif principal était ici de contourner le système pour gonfler les statistiques et accumuler des jetons sur tea.xyz, une plateforme blockchain conçue pour récompenser les développeurs open source. Pour y parvenir, les pirates ont mis en place un vaste réseau de projets interdépendants dont les noms font référence à la cuisine indonésienne, par exemple zul-tapai9-kyuki ou andi-rendang23-breki.

Les auteurs de cette campagne n’ont pas pris la peine de pirater des comptes. À proprement parler, ces paquets indésirables ne contenaient même pas de charge utile malveillante, à moins de considérer comme telle un script conçu pour générer automatiquement de nouveaux paquets toutes les sept secondes. Cet incident a toutefois clairement montré à quel point l’infrastructure npm est vulnérable face aux campagnes de spam à grande échelle.

Décembre 2025 : Shai-Hulud 2.0 et la fuite de 400 000 secrets de développeurs

L’événement phare de l’année, non seulement en matière d’attaques visant la chaîne d’approvisionnement, mais probablement dans l’ensemble du domaine de la cybersécurité, a été le programme malveillant à propagation autonome Shai-Hulud (également connu sous le nom de Sha1-Hulud), qui ciblait les développeurs.

Ce programme malveillant était l’évolution logique de l’attaque « s1ngularity » que nous avons mentionnée plus haut : il parcourt lui aussi les systèmes à la recherche de toutes sortes de secrets et les publie dans des dépôts GitHub publics. Cependant, Shai-Hulud a ajouté un mécanisme d’autopropagation à cette version de base : le ver infecte les projets gérés par des développeurs déjà compromis en utilisant leurs identifiants volés.

La première vague du virus Shai-Hulud a frappé en septembre, infectant plusieurs centaines de paquets npm. Mais vers la fin de l’année, une deuxième vague a déferlé, baptisée Shai-Hulud 2.0.

Cette fois-ci, le ver a été enrichi d’une fonctionnalité de suppression. Si le programme malveillant ne parvenait pas à trouver de jetons npm ou GitHub valides sur un système infecté, il déclenchait une charge utile destructrice qui effaçait les fichiers de l’utilisateur.

Au total, environ 400 000 secrets ont été divulguées à la suite de cette attaque. Il convient de noter que, tout comme dans le cas de s1ngularity, ces données sensibles se sont retrouvées dans des dépôts publics, où elles pouvaient être téléchargées non seulement par les pirates, mais aussi par n’importe qui d’autre. Et il y a fort à parier que les répercussions de cette attaque se feront sentir pendant encore longtemps.

L’un des premiers cas confirmés de piratage utilisant des secrets divulgués par le virus Shai-Hulud a été un vol de cryptomonnaies visant plusieurs milliers d’utilisateurs du portefeuille Trust Wallet. Les pirates ont utilisé ces secrets la veille de Noël pour publier une version malveillante de l’extension Trust Wallet sur le Chrome Web Store, intégrant un draineur de cryptomonnaies. Au final, les cybercriminels auraient réussi à s’emparer de 8,5 millions de dollars en cryptomonnaies.

Comment se protéger des attaques visant la chaîne d’approvisionnement ?

En préparant un bilan similaire pour l’année 2024, nous avons constaté qu’il était assez facile de s’en tenir à la formule « un mois, une menace ». Pour 2025, en revanche, la tâche s’est avérée bien plus ardue. L’année dernière a été marquée par une telle quantité d’attaques contre la chaîne d’approvisionnement que nous n’avons tout simplement pas pu toutes les inclure dans cette synthèse.

L’année 2026 s’annonce tout aussi mouvementée. Nous vous recommandons donc de consulter notre article consacré à la prévention des attaques contre la chaîne d’approvisionnement. En attendant, voici les points essentiels à retenir :

• Évaluez soigneusement vos fournisseurs et vérifiez minutieusement le code que vous intégrez à vos propres projets.
• Intégrez des exigences de sécurité strictes directement dans vos contrats de service.
• Établissez un plan complet d’intervention en cas d’incident.
• Surveillez l’infrastructure de votre entreprise à l’aide d’une solution XDR afin de détecter toute activité suspecte.
• Si votre équipe de sécurité interne est débordée, faites appel à un fournisseur externe qui assurera une recherche proactive des menaces et une intervention rapide.

Si vous souhaitez en savoir plus sur les attaques visant la chaîne d’approvisionnement, nous vous invitons à consulter notre rapport d’analyse Réaction en chaîne : sécuriser l’écosystème numérique mondial à l’ère de l’interdépendance. Ce rapport s’appuie sur les analyses d’experts techniques et met en évidence les risques auxquels les organisations sont souvent confrontées au niveau de leur chaîne d’approvisionnement et de leurs relations de confiance, les lacunes qui subsistent en matière de protection, ainsi que les stratégies à mettre en œuvre pour renforcer la résilience face à ce type de menaces.