Le plus grand piratage de la supply chain NPM… pour seulement 50 $ volés

Les acteurs malveillants sont de retour, cette fois en ciblant le compte du gestionnaire de paquets Node (NPM) d’un développeur logiciel bien connu. Les enquêtes ont révélé que les hackers ont ajouté des logiciels malveillants à des bibliothèques JavaScript populaires, attaquant principalement les portefeuilles crypto. Cependant, après avoir lancé ce que les enquêteurs de l’industrie décrivent comme la plus grande attaque de la chaîne d’approvisionnement de l’histoire de la crypto, les hackers n’ont réussi à voler que 50 $ d’actifs crypto.

Un logiciel malveillant dans les paquets NPM met les portefeuilles crypto en danger, ciblant les portefeuilles Ethereum et Solana

Selon la plateforme d’intelligence blockchain Security Alliance, un code malveillant injecté par les attaquants a compromis des bibliothèques JavaScript totalisant plus d’un milliard de téléchargements, exposant de nombreux projets crypto à des risques. La firme d’intelligence crypto a précisé que le hacker ciblait principalement les portefeuilles Ethereum et Solana.

Pour contexte, les NPM fonctionnent comme des bibliothèques centrales ou des magasins d’applications où les développeurs peuvent télécharger et partager de petits paquets pour créer des projets JavaScript. Les rapports indiquent que les hackers semblent avoir accroché un crypto-clipper , un type de code malveillant qui échange silencieusement les adresses de portefeuilles lors des transactions pour détourner des fonds.

Jusqu’à présent, les cybercriminels ont réussi à déplacer seulement 50 $ vers un portefeuille Ethereum malveillant. Security Alliance a identifié l’adresse du portefeuille, étiquetée « 0xFc4a48 », qu’ils considèrent comme le seul portefeuille compromis.

La propagation du malware contenue après un impact limité

Commentant la faille, le chercheur en sécurité pseudonyme SEAL Samczsun a expliqué que le hacker avait un accès important mais n’a pas réussi à en tirer pleinement parti . Il a ajouté que bien que le malware ait été largement diffusé, il a désormais été en grande partie contenu.

Le hacker n’a pas pleinement exploité l’accès dont il disposait. C’est comme trouver la carte d’accès de Fort Knox et l’utiliser comme marque-page. Le malware était répandu mais à ce stade est presque complètement neutralisé. 

Samczsun

Cependant, la somme actuelle de 50 $ est passée de quelques centimes quelques heures plus tôt , ce qui suggère que d’autres événements liés au piratage pourraient encore se dérouler.

Security Alliance a rapporté que cinq centimes d’Ethereum (ETH) et environ 20 $ en memecoins ont été volés. Selon les données d’Etherscan, le hacker a jusqu’à présent déplacé Brett (BRETT), Andy (ANDY), Dork Lord (DORK), Ethervista (VISTA) et Gondola (GONDOLA).

Le malware du hacker a attaqué des paquets tels que chalk, strip-ansi, et color-convert — de petites utilitaires présents profondément dans les arbres de dépendances qui ont été téléchargés plus de 2 milliards de fois. En effet, la firme de sécurité a noté que même les créateurs qui n’avaient jamais installé le programme directement pourraient être à risque.

Les plateformes crypto appellent à la prudence

Le directeur technique de Ledger, Charles Guillemet, a appelé à la prudence parmi les participants du marché lors de la confirmation des transactions on-chain. Les fournisseurs de portefeuilles crypto Ledger et MetaMask ont maintenu que leurs plateformes restent sûres face à la faille, notant que leurs portefeuilles sont protégés par « plusieurs couches de défense » pour se prémunir contre de telles attaques.

D’autres plateformes crypto, telles que Phantom, Uniswap, Aerodrome et Blast, ont indiqué qu’elles n’ont pas été affectées par le piratage de la chaîne d’approvisionnement. Cependant, le fondateur de la plateforme d’analyse crypto DefiLlama, sous le pseudonyme 0xngmi, a détaillé que les projets qui se sont mis à jour après la publication du paquet NPM compromis par le code malveillant pourraient être exposés à un risque important.

Il a toutefois précisé que les utilisateurs doivent approuver la transaction malveillante avant qu’elle ne puisse être effectuée. Néanmoins, DefiLlama a conseillé aux utilisateurs d’éviter d’utiliser les sites crypto jusqu’à ce que le malware soit totalement éliminé. 

Avec la croissance accrue des actifs numériques, les piratages crypto sont devenus courants ces dernières années. La plateforme crypto SwissBorg a récemment subi une faille massive , les hackers ayant déplacé environ 193 000 SOL, d’une valeur de 41 millions de dollars.