En bref
Que s'est-il passé ?
Le 2 décembre 2024, deux versions malveillantes de @solana/web3.js (1.95.6 et 1.95.7), API JavaScript de la blockchain Solana (400 000 dl/semaine, 3 000+ projets dépendants), sont publiées.
Un compte avec accès de publication est compromis (ingénierie sociale ou phishing). Le backdoor exfiltre les clés privées et adresses de portefeuille, visant surtout les bots backend manipulant des clés lors des transactions.
Dégâts financiers estimés à ~130 000 $ alors que le code malveillant est resté indétecté ~6 heures avant le correctif. Les organisations ayant mis à jour dans cette courte fenêtre sont les plus touchées.
MFA sur les comptes de publication, jetons courts, épingler les versions de dépendances crypto-sensibles, et ne pas manipuler de clés privées dans des dépendances non vérifiées.
Chronologie de l'attaque
@solana/web3.js 1.95.6 et 1.95.7 sont publiés via un compte compromis ; le backdoor exfiltre les clés privées pendant environ 6 heures avant correctif.
Comment l'attaquant a procédé
Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :
La leçon à en tirer
Trusted publishing (OIDC) plutôt que jetons de longue durée ; 2FA ; détection de republication.
Les exigences SOCLE qui auraient limité cet incident
Cet incident se rattache à 22 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :