{"id":2165,"date":"2025-09-09T01:55:21","date_gmt":"2025-09-09T01:55:21","guid":{"rendered":"https:\/\/bitcoinnewscrypto.com\/fr\/?p=2165"},"modified":"2025-09-09T01:55:21","modified_gmt":"2025-09-09T01:55:21","slug":"crypto-supply-chain-attack-npm-malware","status":"publish","type":"post","link":"https:\/\/bitcoinnewscrypto.com\/fr\/news\/solana\/crypto-supply-chain-attack-npm-malware\/","title":{"rendered":"Nouvelle Cyberattaque Crypto: Alerte Rouge pour les Utilisateurs et D\u00e9veloppeurs !"},"content":{"rendered":"

Une nouvelle cyberattaque vole des cryptomonnaies aux utilisateurs lors de l’envoi de transactions, et de nombreux experts la qualifient de la plus grande attaque de la cha\u00eene d’approvisionnement de l’histoire. Des pirates informatiques se sont introduits dans les comptes des mainteneurs de paquets npm en utilisant des e-mails de phishing. Ces e-mails semblaient provenir de “support@npmjs.help<\/a>“, imitant le v\u00e9ritable registre npm. Les messages disaient aux d\u00e9veloppeurs que leurs comptes seraient verrouill\u00e9s \u00e0 moins qu’ils ne mettent \u00e0 jour leur authentification \u00e0 deux facteurs. Lorsque les mainteneurs cliquaient sur le lien, les attaquants obtenaient leurs identifiants de connexion et pla\u00e7aient des logiciels malveillants \u00e0 l’int\u00e9rieur des paquets npm populaires.<\/p>\n\n

Dix-huit biblioth\u00e8ques JavaScript largement utilis\u00e9es ont \u00e9t\u00e9 compromises, notamment chalk, debug et ansi-styles. Ensemble, ces paquets sont t\u00e9l\u00e9charg\u00e9s des milliards de fois chaque semaine et sont utilis\u00e9s par des d\u00e9veloppeurs du monde entier. Cela signifie que l’ensemble de l’\u00e9cosyst\u00e8me JavaScript a peut-\u00eatre \u00e9t\u00e9 expos\u00e9. BleepingComputer a rapport\u00e9 que les attaquants ont inject\u00e9 du code dans ces biblioth\u00e8ques qui agissait comme un intercepteur bas\u00e9 sur un navigateur. Ce code surveillait le trafic r\u00e9seau et recherchait des transactions cryptographiques sur Bitcoin, Ethereum, Solana, Tron, Litecoin et Bitcoin Cash. Lorsque quelqu’un envoyait un transfert, le logiciel malveillant rempla\u00e7ait la v\u00e9ritable adresse du portefeuille par une adresse contr\u00f4l\u00e9e par les pirates avant que la transaction ne soit sign\u00e9e.<\/p>\n\n

Le chercheur en s\u00e9curit\u00e9 Charlie Eriksen a expliqu\u00e9 que le logiciel malveillant fonctionne de plusieurs mani\u00e8res. Il modifie ce qui est affich\u00e9 sur les sites web, alt\u00e8re les appels API et trompe les applications en les amenant \u00e0 signer des transactions que l’utilisateur n’avait pas l’intention de faire. Charles Guillemet, le CTO de Ledger, a averti que l’attaque est toujours active et a d\u00e9clar\u00e9 que les utilisateurs de cryptomonnaies devraient \u00e9viter d’effectuer des transactions on-chain s’ils n’utilisent que des portefeuilles logiciels. Les utilisateurs de portefeuilles mat\u00e9riels peuvent se prot\u00e9ger en v\u00e9rifiant les d\u00e9tails avant de signer, mais toute personne qui n’en poss\u00e8de pas est confront\u00e9e \u00e0 un risque plus \u00e9lev\u00e9.<\/p>\n\n

Les chercheurs ont \u00e9galement d\u00e9couvert que l’infrastructure de phishing envoyait les informations vol\u00e9es \u00e0 “websocket-api2.publicvm.com”. Cela montre que l’attaque \u00e9tait bien coordonn\u00e9e. Elle fait suite \u00e0 d’autres incidents npm plus t\u00f4t cette ann\u00e9e, dont un en mars qui a patch\u00e9 le paquet ethers avec un shell invers\u00e9 et un autre en juillet qui a cibl\u00e9 eslint-config-prettier. La campagne continue d’\u00e9voluer, et cette fois, les attaquants ont utilis\u00e9 des contrats intelligents Ethereum d’une nouvelle mani\u00e8re. Deux paquets npm appel\u00e9s colortoolsv2 et mimelib2 ont cach\u00e9 des commandes malveillantes \u00e0 l’int\u00e9rieur de contrats intelligents Ethereum. Une fois t\u00e9l\u00e9charg\u00e9s, les paquets ont install\u00e9 des logiciels malveillants de deuxi\u00e8me \u00e9tape, ce qui a rendu leur d\u00e9tection plus difficile.<\/p>\n\n

Les contrats intelligents Ethereum sont de petits programmes qui s’ex\u00e9cutent sur la blockchain. Ils sont publics et agissent comme des API ouvertes. Dans ce cas, les pirates les ont utilis\u00e9s pour stocker des liens pour t\u00e9l\u00e9charger le logiciel malveillant, de sorte que m\u00eame si quelqu’un v\u00e9rifiait le paquet, il pourrait ne pas voir le code dangereux. Cette m\u00e9thode cr\u00e9ative de commande et de contr\u00f4le montre comment les acteurs de la menace s’adaptent pour \u00e9viter la d\u00e9tection.<\/p>\n\n

Les attaquants ont \u00e9galement tent\u00e9 de rendre leurs r\u00e9f\u00e9rentiels GitHub dignes de confiance. Ils ont cr\u00e9\u00e9 de faux projets comme solana-trading-bot-v2 et ethereum-mev-bot-v2. Ceux-ci avaient de nombreuses \u00e9toiles, observateurs et commits, mais la plupart de cette activit\u00e9 \u00e9tait fausse. Des comptes ont \u00e9t\u00e9 cr\u00e9\u00e9s en m\u00eame temps, souvent avec un seul fichier, et des commits automatis\u00e9s ont gonfl\u00e9 les chiffres. Cette astuce d’ing\u00e9nierie sociale a permis aux r\u00e9f\u00e9rentiels de sembler r\u00e9els pour les d\u00e9veloppeurs qui pourraient inclure les paquets npm malveillants dans leur travail.<\/p>\n\n

Les experts pr\u00e9viennent que les attaques de la cha\u00eene d’approvisionnement sont particuli\u00e8rement dangereuses car elles ciblent des outils de confiance. En cachant des logiciels malveillants \u00e0 l’int\u00e9rieur de biblioth\u00e8ques open source, les pirates peuvent toucher des millions de d\u00e9veloppeurs et d’utilisateurs finaux \u00e0 la fois. Rien que cette ann\u00e9e, les chercheurs ont d\u00e9couvert plus de vingt campagnes sur npm, GitHub et PyPI visant \u00e0 voler des cryptomonnaies. Certains ont utilis\u00e9 des infostealers, d’autres ont d\u00e9ploy\u00e9 des mineurs de pi\u00e8ces et beaucoup se sont appuy\u00e9s sur le phishing pour capturer des donn\u00e9es sensibles.<\/p>\n\n

Les indicateurs de compromission (IOC), tels que les domaines suspects, le code obfusqu\u00e9 et les r\u00e9f\u00e9rentiels factices, aident les \u00e9quipes de s\u00e9curit\u00e9 \u00e0 d\u00e9tecter ces menaces. Pourtant, de nombreux utilisateurs ne remarqueront rien tant que les fonds n’auront pas disparu. Pour l’instant, les d\u00e9veloppeurs doivent v\u00e9rifier attentivement les paquets, les mainteneurs et le code avant de les utiliser. Les utilisateurs de cryptomonnaies devraient envisager des portefeuilles mat\u00e9riels et \u00e9viter de faire des transferts importants tant que la menace n’est pas ma\u00eetris\u00e9e. L’attaque montre \u00e0 quelle vitesse la cybercriminalit\u00e9 \u00e9volue et combien il est important de s\u00e9curiser \u00e0 la fois les cha\u00eenes d’approvisionnement de logiciels et les actifs num\u00e9riques.<\/p>","protected":false},"excerpt":{"rendered":"

Une nouvelle cyberattaque vole des cryptomonnaies aux utilisateurs lors de l’envoi de transactions, et de nombreux experts la qualifient de la plus grande attaque de la cha\u00eene d’approvisionnement de l’histoire.…<\/p>\n","protected":false},"author":2,"featured_media":2166,"comment_status":"closed","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[],"class_list":["post-2165","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-solana"],"_links":{"self":[{"href":"https:\/\/bitcoinnewscrypto.com\/fr\/wp-json\/wp\/v2\/posts\/2165","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bitcoinnewscrypto.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/bitcoinnewscrypto.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/fr\/wp-json\/wp\/v2\/comments?post=2165"}],"version-history":[{"count":1,"href":"https:\/\/bitcoinnewscrypto.com\/fr\/wp-json\/wp\/v2\/posts\/2165\/revisions"}],"predecessor-version":[{"id":2167,"href":"https:\/\/bitcoinnewscrypto.com\/fr\/wp-json\/wp\/v2\/posts\/2165\/revisions\/2167"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/fr\/wp-json\/wp\/v2\/media\/2166"}],"wp:attachment":[{"href":"https:\/\/bitcoinnewscrypto.com\/fr\/wp-json\/wp\/v2\/media?parent=2165"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/fr\/wp-json\/wp\/v2\/categories?post=2165"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/bitcoinnewscrypto.com\/fr\/wp-json\/wp\/v2\/tags?post=2165"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}