À la mi-septembre, un incident de chaîne logistique logicielle — communément appelé « attaque s1ngularity » — a marqué un tournant dans l'utilisation de l'intelligence artificielle par les adversaires.
Bien que le vecteur d'accès initial soit familier (une attaque de phishing ciblant les mainteneurs de paquets npm), le malware résultant était nouveau. Il s'agit de l'une des premières attaques dans lesquelles des agents d'IA locaux ont été militarisés pour faciliter le vol d'identifiants.
Cette technique représente une escalade inquiétante de l'ingéniosité des attaquants, allant au-delà de simples scripts personnalisés pour exploiter les capacités de résolution de problèmes des outils d'IA déjà disponibles sur la machine d'une cible.
Je me suis entretenu avec Paul McCarty, responsable de la recherche chez Safety Cybersecurity – qui a récemment publié une analyse détaillée de l'attaque – pour discuter de ses conclusions, notamment des invites d'IA utilisées pour rechercher des secrets et contourner les garde-fous, et de la façon dont cette menace pourrait évoluer à l'avenir. Regardez la vidéo ci-dessus, ou continuez votre lecture pour un aperçu de ce dont nous avons parlé.
Anatomie d'une attaque post-installation
Lors de l'attaque, des mises à jour malveillantes ont été diffusées vers des packages npm populaires, y compris nx, ce qui a finalement entraîné le vol de milliers d'identifiants de développeurs. Un composant clé du malware était un script post-installation que l'attaquant a nommé telemetry.js.
La fonction principale de ce script était de s'exécuter immédiatement après l'installation et de rechercher les fichiers sensibles et les secrets sur l'hôte compromis. Un point crucial est que l'attaquant a introduit une nouvelle méthode de découverte, en vérifiant la présence d'agents CLI locaux pour les grands modèles de langage (LLM) populaires, notamment Claude, Gemini et AWS Q.
McCarty décrit cela comme une évolution claire de l'approche "vivre de la terre", où les attaquants abusent d'outils préinstallés et approuvés. Les développeurs ont souvent ces agents CLI installés pour rationaliser les workflows de codage, ce qui en fait une cible de grande valeur et facilement disponible pour un attaquant.
Vivre des invites locales
Le script malveillant telemetry.js ne se contentait pas de rechercher passivement des fichiers ; il utilisait des agents d’IA pour effectuer le gros du travail via une invite.
Vérification initiale : Le script détectait si un agent d’IA pris en charge (application CLI) était installé et sur quelle plateforme (le malware ciblait principalement les hôtes Linux et macOS).
L'invite : Le malware a ensuite exécuté une invite spécialement conçue via l'agent installé. L'objectif principal de l'invite était l'énumération des fichiers : demander à l'IA de rechercher de manière récursive dans le système de fichiers de l'hôte et de générer un tableau complet de fichiers susceptibles de contenir des secrets.
Secrets ciblés : Il ne s’agissait pas d’une recherche à l’aveugle. L’invite était axée sur les « fichiers juteux », tels que .env et .config fichiers qui contiendraient généralement des secrets, tels que :
Jetons GitHub et npm
Identifiants de la plateforme cloud (par exemple, tokens AWS)
Clés SSH
Le rôle de l'agent d'IA était d'utiliser les vastes données d'apprentissage du LLM et la conscience contextuelle de l'environnement de la cible pour déterminer les meilleurs emplacements à rechercher. L'agent d'IA a effectivement fourni à l'attaquant un outil de découverte capable de s'adapter dynamiquement à l'environnement cible.
Les agents d'IA sont imprévisibles, mais suffisamment fiables à grande échelle
L'analyse de McCarty de la charge utile de l'attaque a révélé un aperçu fascinant du processus de pensée de l'attaquant. Plusieurs mises à jour successives des packages empoisonnés révèlent au moins quatre versions différentes de l'invite d'IA.
Cette itération rapide a été une bataille active contre le non-déterminisme et les garde-fous inhérents aux applications d'IA. L'attaquant a dû expérimenter continuellement pour trouver l'invite parfaite qui :
Contourner les garde-fous : Évitez les protections intégrées de l'agent qui rejettent les demandes malveillantes évidentes ou les demandes d'accès aux ressources du système de fichiers.
Optimiser les résultats : Générer la liste la plus complète des chemins de fichiers sensibles
Optimiser la vitesse : Réduire le champ d'action pour exclure les fichiers de code source courants, accélérant ainsi le processus global de collecte de données.
Ce processus itératif démontre l'une des lacunes des outils d'IA : les utilisateurs doivent souvent poser la même question plusieurs fois, de différentes manières, pour se rapprocher d'un résultat positif. Il met également en évidence un risque croissant pour les défenseurs : il n'y a aucune garantie que les agents d'IA respecteront les garde-fous. Comme l'a montré le propre test de McCarty, les agents d'IA ont parfois « ignoré les garde-fous et sont simplement passés en mode YOLO ».
Cet incident confirme que l’IA agentique représente une nouvelle surface d’attaque importante. Connectés aux postes de travail des développeurs, ils peuvent être utilisés comme un puissant moteur de découverte pour la collecte d’identifiants et d’autres informations sensibles.
Lecture recommandée
Pour une analyse technique approfondie des quatre versions d'invites d'IA malveillantes et de leurs taux de réussite variables par rapport à Claude et Gemini, nous vous recommandons vivement de lire l'analyse complète de Paul McCarty et de l'équipe de sécurité : Analyse de l'IA utilisée dans l'attaque NX.
