Une attaque par hameçonnage visant un développeur Node.js a introduit du code malveillant dans des paquets npm, ciblant les portefeuilles Ethereum et Solana et affectant plus de 2 milliards de téléchargements hebdomadaires.

Résumé Exécutif

Des attaquants ont compromis des paquets npm largement utilisés via une attaque par hameçonnage, injectant du code malveillant conçu pour voler des crypto-monnaies. L'attaque, découverte le 8 septembre 2025, a ciblé les portefeuilles Ethereum et Solana en interceptant et en redirigeant les transactions. Bien que le gain financier immédiat pour l'attaquant ait été minime, l'incident a exposé des vulnérabilités critiques dans la chaîne d'approvisionnement logicielle et a soulevé des inquiétudes quant à la sécurité de l'écosystème Web3.

L'événement en détail

Un développeur open-source très respecté, Josh Junon (alias qix), a été compromis via un e-mail de hameçonnage qui usurpait npmjs.help. L'attaquant a pris le contrôle du compte npm de Junon et a injecté du code malveillant dans 18 paquets, y compris des bibliothèques populaires comme chalk, debug et ansi-styles, affectant plus de 2 milliards de téléchargements hebdomadaires. Le code malveillant ciblait les transactions de crypto-monnaies, surveillant spécifiquement les adresses de portefeuille Ethereum, Solana, Bitcoin, Tron, Litecoin et Bitcoin Cash dans le trafic réseau. Le code réécrit les cibles de transaction, substituant les adresses légitimes par des adresses contrôlées par l'attaquant, et modifie les transactions non signées, en modifiant les destinataires et les montants avant que l'utilisateur ne les signe.

Implications pour le marché

L'attaque souligne la vulnérabilité de l'écosystème Web3 aux compromissions de la chaîne d'approvisionnement. Malgré la déclaration de Binance selon laquelle aucune donnée utilisateur ni aucun actif n'ont été compromis, l'incident soulève des préoccupations plus larges concernant la sécurité des logiciels open source et le potentiel d'attaques à grande échelle ciblant les utilisateurs de crypto-monnaies. L'incident pourrait entraîner un examen accru des dépendances logicielles et une pression pour des mesures de sécurité plus strictes au sein de l'écosystème Node.js. Les équipes de sécurité sont confrontées à des coûts importants pour mettre à jour les systèmes.

Commentaire d'experts

"Même les logiciels open source ne sont plus sûrs de nos jours. Le Web3 redéfinira la sécurité pour le Web2", a déclaré Changpeng Zhao (CZ), co-fondateur de Binance, sur la plateforme sociale X.

Charles Guillemet, directeur de la technologie chez Ledger, fabricant de portefeuilles matériels, a noté que le code malveillant s'était propagé dans des paquets totalisant plus d'un milliard de téléchargements.

Contexte plus large

L'attaque souligne l'importance de mesures de sécurité robustes au sein de la chaîne d'approvisionnement logicielle. Les recommandations pour atténuer des attaques similaires incluent : l'audit régulier des dépendances npm, l'utilisation de package-lock.json pour garantir des versions de dépendances cohérentes, la vérification des éditeurs de paquets et la surveillance des mises à jour inattendues de paquets. L'incident reflète une tendance croissante des cybercriminels ciblant l'infrastructure de crypto-monnaie par le biais de campagnes de hameçonnage sophistiquées et d'attaques de la chaîne d'approvisionnement. Comme l'ont noté les chercheurs en sécurité, presque toutes les attaques majeures en 2025 ont ciblé l'infrastructure de crypto-monnaie, les campagnes de hameçonnage s'avérant plus efficaces que les exploits zero-day.