Les attaquants utilisent des contrats intelligents Ethereum pour masquer les URL malveillantes dans les packages NPM, ce qui complique la détection et pose un risque pour la chaîne d'approvisionnement.

Résumé

Les attaquants exploitent les contrats intelligents Ethereum pour dissimuler les URL malveillantes dans les packages NPM, ce qui complique la détection et pose un risque pour la chaîne d'approvisionnement. Cette nouvelle approche marque une évolution dans les stratégies de cyberattaque ciblant les écosystèmes crypto et Web3.

L'événement en détail

Début juillet, le chercheur de ReversingLabs, Karlo Zanki, a découvert un package malveillant nommé « colortoolsv2 » sur NPM. Un package en double, « mimelib2 », a ensuite été publié après la suppression du package initial. Les deux packages ont déployé une charge utile de malware de deuxième étape via l'infrastructure blockchain. Au lieu d'intégrer des URL ou des scripts directement dans le package, les packages ont utilisé des contrats intelligents Ethereum pour stocker et distribuer des URL afin de récupérer le malware de deuxième étape. Cette tactique rend la détection beaucoup plus difficile, car l'infrastructure malveillante est cachée dans le code de la blockchain plutôt qu'à l'intérieur des fichiers du package.

Implications sur le marché

L'utilisation de contrats intelligents Ethereum pour dissimuler des commandes malveillantes représente une nouvelle stratégie d'évasion. Selon le rapport 2025 de ReversingLabs sur la sécurité de la chaîne d'approvisionnement logicielle, il y a eu 23 campagnes de ce type en 2024, y compris une compromission du package PyPI ultralytics en décembre qui a livré un mineur de pièces. L'écosystème Ethereum et les outils cryptographiques open source sont confrontés à une diminution de la confiance en raison de cette vulnérabilité.

Commentaire d'expert

Les chercheurs de ReversingLabs ont déclaré que l'utilisation de contrats intelligents pour charger des commandes malveillantes est quelque chose qu'ils n'avaient jamais vu auparavant et souligne l'évolution rapide des stratégies d'évasion de détection par les acteurs malveillants.

Contexte plus large

L'industrie de la crypto est confrontée à un nombre croissant de cyberattaques. Au premier semestre 2025, 2,47 milliards de dollars d'actifs numériques ont été volés lors d'incidents de piratage. Un seul incident en février a entraîné une perte de 1,5 milliard de dollars pour Bybit. La baisse de la part américaine des développeurs open source, de 25 % en 2021 à 18 % en 2025, citant le « manque de clarté réglementaire » comme principal moteur.