Les pirates utilisent les contrats intelligents Ethereum pour masquer les codes malveillants au sein des paquets npm, ce qui rend la détection et la suppression plus difficiles.

Résumé

Les attaquants tirent parti des contrats intelligents Ethereum pour dissimuler du code malveillant au sein des paquets npm, une tactique qui accroît la complexité de la détection et de la suppression. Cette campagne, découverte par ReversingLabs en juillet 2025, met en lumière la sophistication croissante des attaques de la chaîne d'approvisionnement logicielle ciblant les secteurs de la cryptographie et de la fintech.

L'événement en détail

En juillet 2025, les chercheurs de ReversingLabs ont découvert deux paquets malveillants, colortoolsv2 et mimelib2, sur le dépôt de paquets npm. Ces paquets utilisaient des contrats intelligents Ethereum pour masquer des commandes malveillantes qui installaient des logiciels malveillants de téléchargement sur les systèmes compromis. Au lieu d'intégrer directement des URL suspectes, le logiciel malveillant interrogeait les contrats intelligents Ethereum pour obtenir les adresses des serveurs de commande et de contrôle (C2), une technique appelée "EtherHiding". Le paquet colortoolsv2, par exemple, contenait une charge utile malveillante et obscurcie dans son script index.js qui récupérait et exécutait des commandes malveillantes. Les paquets ont été signalés aux mainteneurs de npm et ont été supprimés par la suite.

Implications pour le marché

Ce nouveau vecteur d'attaque soulève des préoccupations quant à la sécurité des dépôts open source et au potentiel de compromission généralisée. Comme l'a noté Lucija Valentić, chercheuse chez ReversingLabs, >« Ce qui est nouveau et différent, c'est l'utilisation des contrats intelligents Ethereum pour héberger les URL où se trouvent les commandes malveillantes, téléchargeant le logiciel malveillant de deuxième étape. Nous n'avions jamais vu cela auparavant, et cela illustre l'évolution rapide des stratégies d'évasion par les acteurs malveillants ciblant les dépôts open source et les développeurs. »

Cet incident pourrait entraîner un examen accru des paquets npm et de la sécurité des contrats intelligents, poussant potentiellement à l'adoption de nouveaux protocoles de sécurité et de pratiques d'audit.

Contexte plus large

Cette attaque fait partie d'une campagne plus large où des acteurs malveillants ont créé de faux dépôts déguisés en bots de trading de crypto-monnaies sur GitHub. Ces dépôts, tels que solana-trading-bot-v2, présentaient des milliers de faux commits et des évaluations par étoiles gonflées pour tromper les développeurs. La société de cybersécurité Kaspersky a également mis en garde contre des campagnes similaires sur GitHub, où des pirates créent des projets frauduleux contenant des chevaux de Troie d'accès à distance (RAT) et des voleurs d'informations conçus pour voler des crypto-monnaies et des identifiants de connexion. Les incidents de sécurité Web3 ont entraîné plus de 2,3 milliards de dollars de pertes de crypto-monnaies en 2024, soulignant l'incitation financière croissante pour ce type d'attaques. Cet incident souligne la nécessité d'une validation continue de la sécurité et de mesures de sécurité proactives tout au long du cycle de vie du développement, plutôt que de se fier uniquement à des audits réactifs.