Mai 2026 marque un tournant dans la cybersécurité open source. 633 paquets npm malveillants ont bypassé Sigstore, le système de vérification soutenu par Google. Ces paquets, signés avec des comptes de mainteneurs volés, contenaient des backdoors. Résultat : des milliers de projets exposés à des ransomwares ou à l’exfiltration de données. Une faille critique qui remet en question la confiance dans la chaîne d’approvisionnement logicielle.
Une attaque sophistiquée ciblant l’écosystème JavaScript
Le 19 mai 2026, des attaquants ont compromis le registre npm, pilier de l’écosystème JavaScript. Ils ont exploité une faille dans le processus de vérification d’identité des mainteneurs. 633 versions de paquets frauduleux ont ainsi été publiées avec des certificats valides.
Les paquets malveillants imitaient des bibliothèques populaires. Ils passaient les contrôles Sigstore grâce à des comptes de mainteneurs légitimes piratés. Une attaque discrète mais dévastatrice pour la sécurité des projets open source.
Chiffres et mécanismes de l’attaque
L’incident révèle des vulnérabilités majeures dans les systèmes de confiance open source. Voici les détails clés :
- 633 versions de paquets npm malveillants ont passé la vérification Sigstore le 19 mai 2026
- Attaque basée sur le vol de comptes de 12 mainteneurs légitimes, contournant les contrôles de sécurité
- Sigstore, système de certificats soutenu par Google et la Linux Foundation, compromis sans faille technique
- Paquets frauduleux contenant des backdoors ou des scripts d’exfiltration de données sensibles
- Risque accru pour les entreprises utilisant des dépendances npm non auditées
Sigstore a fonctionné comme prévu : il a vérifié les certificats et les environnements CI. Mais il ne peut pas détecter l’usurpation d’identité des mainteneurs.
Impact et comparaison avec d’autres incidents
Cet incident rappelle d’autres attaques majeures sur la chaîne d’approvisionnement logicielle. Voici une comparaison des impacts :
| Incident | Nombre de paquets affectés | Méthode d’attaque | Impact estimé |
|---|---|---|---|
| npm 2026 | 633 versions | Vol de comptes mainteneurs + Sigstore | Exfiltration de données / ransomwares |
| SolarWinds 2020 | 1 mise à jour | Compromission de build | Espionnage gouvernemental |
| UA-Parser-JS 2021 | 3 versions | Vol de compte mainteneur | Cryptojacking |
| Codecov 2021 | 1 script | Fuite de credentials CI | Exfiltration de secrets |
Comment sécuriser ses projets face à cette menace ?
Auditer ses dépendances npm : méthodes et outils
Les entreprises doivent adopter une approche proactive. Utilisez des outils comme `npm audit`, `Snyk` ou `Dependabot` pour scanner les vulnérabilités. Vérifiez manuellement les paquets suspects, notamment ceux avec peu de mainteneurs ou des noms similaires à des bibliothèques populaires.
Alternatives et bonnes pratiques pour limiter les risques
Diversifiez vos sources de confiance. Envisagez des registres privés comme `Verdaccio` ou `GitHub Packages`. Activez la double authentification pour les mainteneurs. Limitez les permissions des comptes CI/CD. Enfin, documentez une politique de gestion des dépendances pour votre équipe.
Ce qu’il faut retenir
- Sigstore ne protège pas contre le vol d’identité des mainteneurs, une faille critique dans la chaîne d’approvisionnement
- 633 paquets malveillants ont été distribués via npm, exposant des milliers de projets à des risques majeurs
- Les entreprises doivent auditer leurs dépendances et adopter des registres privés pour réduire les risques
- La double authentification et la limitation des permissions CI/CD sont des mesures essentielles
❓ Questions fréquentes
Pourquoi Sigstore n’a-t-il pas bloqué ces paquets malveillants ?
Sigstore vérifie les certificats et les environnements de build, mais pas l’identité réelle des mainteneurs. Les attaquants ont utilisé des comptes légitimes piratés, rendant la détection impossible.
Comment savoir si mon projet est affecté par cette attaque ?
Vérifiez vos dépendances avec `npm audit` ou des outils comme Snyk. Recherchez des paquets publiés le 19 mai 2026 ou des noms suspects. Consultez les alertes de sécurité de npm.
Quelles sont les alternatives à Sigstore pour sécuriser ses paquets ?
Envisagez des solutions comme `TUF` (The Update Framework) ou des registres privés avec des contrôles d’accès stricts. Combinez plusieurs couches de sécurité pour réduire les risques.
En résumé
Cette attaque révèle une faille fondamentale dans la confiance accordée aux mainteneurs open source. Les entreprises doivent repenser leur approche de la sécurité des dépendances. Audits réguliers, registres privés et politiques strictes sont désormais indispensables. La chaîne d’approvisionnement logicielle reste un maillon faible, mais des mesures concrètes peuvent en limiter les risques.
📚 À lire aussi
- 633 packages npm piratés : la faille qui ébranle la confiance en 2026
- 633 paquets npm piratés en 2026 : comment les attaquants ont trompé Sigstore
- NPM piraté : 633 paquets malveillants contournent Sigstore en 2026
- 633 paquets npm piratés : la faille qui ébranle la confiance dans l’IA en 2026
📷 Image : Markus Winkler via Pexels