CVE-2024-YIKES : Attaque massive sur l'écosystème JS-Rust-Python
Original : Incident Report: CVE-2024-YIKES
Pourquoi c'est important
Démontre la fragilité des chaînes d'approvisionnement logicielles
Un vol d'ordinateur portable a déclenché une attaque en chaîne touchant 4 millions de développeurs via des dépendances compromises dans JavaScript, Rust et Python, résolue accidentellement par un ver cryptominier.
L'incident a commencé quand Marcus Chen, mainteneur du package JavaScript left-justify (847M téléchargements/semaine), s'est fait voler son laptop contenant ses clés 2FA. Tentant de racheter une YubiKey, il est tombé sur un site de phishing qui a volé ses identifiants npm. Les attaquants ont publié une version malveillante qui exfiltrait les credentials vers vulpine-lz4, une bibliothèque Rust de décompression. Cette dernière a été compromise et intégrée dans snekpack, un outil de build Python utilisé par 60% des packages PyPI contenant 'data'. L'attaque a installé des backdoors SSH et shells inverses sur millions de machines de développeurs pendant 73 heures avant d'être accidentellement corrigée par un ver cryptominier concurrent.