PhantomRaven : Décryptage d’une campagne de ransomware ciblant les écosystèmes open-source français

En août 2025, Koi Security a révélé une campagne de cyberattaque sans précédent contre l’écosystème npm, infectant plus de 126 packages malveillants qui volent les tokens d’authentification et secrets CI/CD. Cette attaque, baptisée PhantomRaven, illustre une nouvelle sophistication dans les techniques de supply chain attacks visant les développeurs français. Selon le dernier rapport ANSSI sur les menaces logicielles, ces attaques représentent désormais 34% des incidents déclarés aux services de cybersécurité français en 2025.

La méthode fatale : Dépendances dynamiques cachées

L’utilisation malveillante des URLs personnalisés

Les packages infectés cachent leur code malveillant dans des dépendances dynamiques externes pointant vers “packages.storeartifact[.]com” au lieu des repositories npmjs[.]com officiels. Comme l’explique Oren Yomtov, chercheur senior chez Koi Security : “npmjs[.]com n’intercepte pas ces URLs, les scanners de sécurité ne les suivent pas et les outils d’analyse des dépendances les ignorent purement et simplement. Pour ces systèmes automatisés, les packages apparaissent comme sans dépendances”.

Le mécanisme de propagation en deux temps

L’attaque se déroule en deux phases distinctes :

1. Phase initiale transparente : Installation d’un package apparemment légitime
2. Exécution du payload : Hook pre-install déclenchant l’exfiltration des données

Les analyses de DCODX ont révélé que 7 packages français parmi les 126 touchés utilisaient des noms créés par des LLM (LLM-squatting), comme “eslint-comments” ou “unused-imports” avec des noms très proches de projets légitimes.

Impact sur les écosystèmes français

Les cibles principales

Selon les données de l’INRIA, plus de 86 000 installations ont été répertoriées pour ces packages, avec un pic d’activités lors des recommandations de configuration de CI/CD par les services français de DevSecOps.

Tableau des packages les plus touchés :

Méthodes de défense et bonnes pratiques

Audit de sécurité des dépendances

1. Vérification manuelle des scripts de lifecycle (preinstall/install/postinstall)
2. Surveillance des accès réseau des packages installés
3. Utilisation d’OSSR (Open Source Security Readiness) standards

Solutions techniques recommandées

• Outil de monitoring : Snyk ou GitHub Advanced Security avec détection des dépendances externes
• Contrôle d’accès : IAM rigoureux pour les tokens GitHub
• Environnement sandboxé : Tests dans des conteneurs isolés

Leçons apprises et perspectives

La campagne PhantomRaven révèle trois failles critiques dans la sécurité des écosystèmes open-source :

1. Blind spots techniques : Les outils actuels ne détectent pas les dépendances dynamiques
2. Confiance abusive : Les noms de packages créés par IA génèrent des erreurs de jugement
3. Automatisation dangereuse : Les scripts lifecycle s’exécutent sans interaction humaine

Comme le souligne l’ANSSI dans son guide récent : “Aucun système de sécurité automatisé ne peut remplacer une vigilance humaine critique devant les nouvelles techniques de cybercriminalité”.

Conclusion : Agir avant la prochaine vague

Face à la sophistication grandissante des attaques comme PhantomRaven, les équipes françaises de développement doivent adopter une posture proactive. La combinaison de surveillance continue, de formation spécialisée et de solutions techniques modernes représente la meilleure défense contre ces menaces hybrides qui profitent à la fois des vulnérabilités techniques et humaines.

En complément des bonnes pratiques mentionnées, les développeurs français doivent impérativement :

• Implémenter des stratégies de rotation des tokens
• Utiliser des outils de sécurité statique avec analyse des dépendances
• Participer aux initiatives de Transparence Logicielle Française

La cyber-sécurité n’est plus une option mais un impératif pour tous les acteurs de la transformation numérique dans l’écosystème français.