
Des chercheurs ont découvert 17 faux paquets Paysafe, Skrill et Neteller sur npm et PyPI qui volent des clés d'API et des jetons CI sur les machines de développement et de build. Rien n'a été compromis chez les sociétés de paiement. L'exposition est venue d'une dépendance empoisonnée, ce qui montre pourquoi le registre de paquets est un fournisseur.
Des chercheurs ont découvert 17 paquets logiciels malveillants qui imitent les kits de paiement Paysafe, Skrill et Neteller, publiés sur deux registres open source (npm pour JavaScript et PyPI pour Python) le 7 juillet 2026. Tout développeur qui en a installé un et l'a exécuté risquait de livrer les secrets présents sur sa machine ou son serveur de build : clés d'API Paysafe, clés Amazon Web Services (AWS), jetons d'accès GitHub et npm. Rien n'a été compromis chez Paysafe, Skrill ou Neteller. L'exposition est venue d'une dépendance empoisonnée, un composant intégré au code d'autrui. La leçon : vos fournisseurs incluent chaque paquet open source auquel votre build fait confiance, et un seul faux peut siphonner les identifiants qui atteignent tout ce qui se trouve en aval.
Ce qui s'est passé
L'entreprise de sécurité applicative Socket a signalé la campagne le 7 juillet 2026, et BleepingComputer l'a couverte le 8 juillet 2026. Le scanner de Socket a trouvé 17 paquets publiés presque simultanément, 13 sur npm et 4 sur PyPI. Chacun portait un nom imitant un véritable SDK de paiement (kit de développement logiciel, le code prêt à l'emploi qu'utilisent les développeurs pour ajouter une fonctionnalité), comme paysafe-node, skrill-sdk et paysafe-payments. Les paquets renvoyaient de fausses réponses de succès pour qu'une intégration paraisse normale, tout en parcourant l'environnement à la recherche de toute variable dont le nom contenait KEY, SECRET, TOKEN, PASS, AUTH ou API. Les correspondances étaient envoyées à un serveur de commande et de contrôle contrôlé par l'attaquant (la machine qui collecte les données volées). Selon Socket, les secrets récoltés incluraient en pratique la clé d'API Paysafe, la clé secrète AWS, ainsi que des jetons GitHub et npm. Le code npm ne s'exécutait que si une clé Paysafe était présente ; le code PyPI s'exécutait à l'installation, quoi qu'il arrive. Le logiciel malveillant évitait aussi les machines ressemblant à des bacs à sable de sécurité. npm a signalé les paquets comme malveillants en six minutes. L'identité de l'acteur n'est pas confirmée, et Socket estime qu'il est compétent et pourrait revenir.
Pourquoi c'est important pour le risque tiers
C'est le schéma de la dépendance-fournisseur. Une intégration de paiement est assemblée à partir de code tiers, et le registre est la voie d'approvisionnement. Lorsqu'un développeur installe un paquet sosie, l'exposition ne s'arrête pas à un seul ordinateur. Les clés AWS, les jetons GitHub et npm volés atteignent les comptes cloud, les dépôts de code source et les paquets qu'une équipe publie elle-même, de sorte qu'une seule dépendance empoisonnée peut s'étendre à chaque système et client en aval. La concentration aggrave le problème : des milliers d'équipes puisent dans les deux mêmes registres, de sorte qu'un seul nom crédible, à une faute de frappe près, peut se disperser sur de nombreuses victimes à la fois.
Ce que les équipes doivent en retenir
Traitez le registre de paquets comme un fournisseur et placez une barrière devant lui : épinglez les versions exactes, bloquez les scripts exécutés à l'installation, et vérifiez le nom d'un paquet avant qu'il n'entre dans un build. Ensuite, partez du principe que tout secret ayant un jour transité par un environnement de build est atteignable : gardez donc des identifiants à durée de vie courte et faites-les tourner selon un calendrier, pas seulement après un incident. Pour voir comment la surveillance continue des fournisseurs et des dépendances fonctionne, la ressource d'Acuna sur le risque fournisseur en présente la pratique.
FAQ
Paysafe, Skrill ou Neteller ont-ils été compromis ?
Non. Les paquets ne faisaient qu'imiter leurs SDK. Les systèmes propres de ces entreprises n'étaient pas concernés, selon le rapport de Socket.
Qu'a-t-on réellement volé ?
Les secrets d'environnement présents sur toute machine ayant installé et exécuté un paquet : clés d'API Paysafe, clés AWS, jetons GitHub et npm, ainsi que des informations d'hôte de base comme le nom de la machine et le nom d'utilisateur.
Que doit faire une équipe si elle en a installé un ?
Faites tourner tous les secrets de la machine ou du serveur de build concerné, recherchez les 17 noms de paquets dans les arbres de dépendances, bloquez-les au niveau du proxy de registre, et vérifiez les journaux d'intégration continue (CI) à la recherche de ces noms aux côtés de PAYSAFE_API_KEY.
Vous souhaitez appliquer cela à votre écosystème fournisseurs ? Découvrez la plateforme en action et cartographiez vos principaux risques fournisseurs en direct lors d'une présentation.


