Selon des chercheurs spécialisés en cybersécurité, les hackers n’ont réussi à dérober que 50 dollars de cryptos lors d’une vaste attaque de la chaîne d’approvisionnement visant des bibliothèques logicielles JavaScript.
La plateforme d’intelligence crypto Security Alliance a publié ses conclusions lundi, après que des hackers ont compromis le compte Node Package Manager (NPM) d’un développeur reconnu et inséré un malware dans des bibliothèques JavaScript populaires déjà téléchargées plus d’un milliard de fois, exposant potentiellement un grand nombre de projets crypto. Selon Security Alliance, les portefeuilles Ethereum et Solana figuraient parmi les cibles spécifiques.
Heureusement, moins de 50 dollars ont été dérobés dans l’écosystème crypto jusqu’à présent, a indiqué la société de sécurité, qui a identifié l’adresse Ethereum « 0xFc4a48 » comme étant, selon elle, la seule adresse malveillante connue à ce stade. Elle a ajouté sur X :
« Imaginez la scène : vous compromettez le compte d’un développeur NPM dont les packages sont téléchargés plus de 2 milliards de fois par semaine. Vous pourriez avoir un accès illimité à des millions de postes de travail de développeurs. Des richesses incommensurables s’offrent à vous. Le monde est à vos pieds. Et pourtant, vous engrangez moins de 50 dollars. »
« Le hacker n’a pas exploité pleinement l’ampleur de l’accès dont il disposait. C’est comme trouver le badge d’accès à Fort Knox et s’en servir comme marque-page. Le malware s’était largement propagé, mais il est aujourd’hui presque totalement neutralisé », a déclaré le chercheur en sécurité pseudonyme Samczsun de SEAL à Cointelegraph dans un commentaire séparé.
Le montant de 50 dollars a toutefois été revu à la hausse, après avoir été estimé à seulement cinq centimes quelques heures plus tôt, ce qui suggère que les dommages potentiels pourraient encore évoluer.
ETH et un memecoin font partie des faibles montants de crypto volés
Selon Security Alliance, les cinq centimes dérobés l’ont été en ether (ETH), tandis qu’environ 20 dollars de memecoin ont également été compromis.
Les données d’Etherscan montrent que l’adresse malveillante a reçu jusqu’à présent les memecoins Brett (BRETT), Andy (ANDY), Dork Lord (DORK), Ethervista (VISTA) et Gondola (GONDOLA).
Les projets crypto n’ayant pas téléchargé les NPM restent malgré tout exposés
La faille a visé des packages tels que chalk, strip-ansi et color-convert — de petits utilitaires enfouis dans les chaînes de dépendances d’innombrables projets. Même les développeurs qui ne les ont jamais installés directement pourraient être exposés.
NPM fonctionne comme une boutique d’applications pour développeurs : une bibliothèque centrale où ils partagent et téléchargent de petits modules de code pour construire des projets en JavaScript.
Les attaquants semblent avoir introduit un crypto-clipper, un type de malware qui remplace discrètement les adresses de portefeuilles lors des transactions afin de détourner les fonds.
Le directeur technique de Ledger, Charles Guillemet, fait partie de ceux qui ont appelé les utilisateurs de crypto à faire preuve de prudence lors de la confirmation de leurs transactions on-chain.
Ledger et MetaMask figurent parmi les applications crypto non affectées
Les fournisseurs de wallets crypto Ledger et MetaMask ont assuré que leurs plateformes étaient protégées de l’attaque NPM, soulignant l’existence de « multiples couches de défense » contre ce type de menace.
L’équipe derrière Phantom Wallet a indiqué ne pas utiliser de versions vulnérables des packages affectés, tandis qu’Uniswap a précisé qu’aucune de ses applications n’était exposée.
Aerodrome, Blast, Blockstream Jade et Revoke.cash comptent parmi les autres plateformes crypto ayant affirmé ne pas avoir été touchées par cette attaque de la chaîne d’approvisionnement.
« Vos fonds ne seront pas vidés instantanément », assure un fondateur de projet crypto
0xngmi, fondateur pseudonyme de la plateforme d’analytique crypto DefiLlama, a toutefois précisé que seuls les projets crypto ayant effectué une mise à jour après la publication du package NPM infecté pourraient être exposés. Même dans ce cas, les utilisateurs doivent approuver la transaction malveillante pour que l’attaque fonctionne.
À l’instar de Charles Guillemet, il a ajouté qu’il serait plus prudent d’éviter d’utiliser les sites crypto tant que les développeurs concernés n’auront pas supprimé les packages compromis.