La plus grande attaque de la chaîne d'approvisionnement de l'histoire vise les utilisateurs de crypto via des paquets JavaScript compromis

Une nouvelle cyberattaque cible silencieusement les utilisateurs de crypto-monnaies lors des transactions, dans le cadre d’un incident que les chercheurs en sécurité décrivent comme la plus grande attaque de la chaîne d’approvisionnement de l’histoire.

BleepingComputer a rapporté que des hackers ont compromis les comptes de mainteneurs de paquets NPM via des emails de phishing et injecté des malwares qui volent des crypto-monnaies.

L’attaque visait les développeurs JavaScript avec des emails frauduleux semblant provenir de “support@npmjs.help”, un domaine usurpé imitant le registre NPM légitime.

Les messages de phishing avertissaient les mainteneurs que leurs comptes seraient verrouillés le 10 septembre, à moins qu’ils ne mettent à jour leurs identifiants d’authentification à deux facteurs via un lien malveillant.

Les attaquants ont réussi à compromettre 18 paquets JavaScript largement utilisés, totalisant plus de 2,6 milliards de téléchargements hebdomadaires.

Les bibliothèques compromises incluent des outils de développement fondamentaux tels que “chalk” (300 millions de téléchargements hebdomadaires), “debug” (358 millions) et “ansi-styles” (371 millions), affectant pratiquement l’ensemble de l’écosystème JavaScript.

Ciblage des crypto-monnaies

Le code malveillant fonctionne comme un intercepteur basé sur le navigateur, surveillant le trafic réseau pour les transactions crypto sur les réseaux Ethereum, Bitcoin, Solana, Tron, Litecoin et Bitcoin Cash.

Lorsque les utilisateurs initient des transferts de crypto-monnaies, le malware remplace silencieusement les adresses de portefeuille de destination par des comptes contrôlés par les attaquants avant la signature de la transaction.

Le chercheur en sécurité d’Aikido Security, Charlie Eriksen, a expliqué :

« Ce qui le rend dangereux, c’est qu’il opère à plusieurs niveaux : en modifiant le contenu affiché sur les sites web, en altérant les appels API et en manipulant ce que les applications des utilisateurs pensent qu’elles signent. »

Le CTO de Ledger, Charles Guillemet, a mis en garde les utilisateurs de crypto-monnaies contre la menace persistante, notant que l’écosystème JavaScript pourrait être compromis compte tenu de l’ampleur des téléchargements.

Les utilisateurs de portefeuilles matériels restent protégés s’ils vérifient les détails de la transaction avant de signer, tandis que les utilisateurs de portefeuilles logiciels sont exposés à un risque plus élevé. Guillemet a conseillé :

« Si vous n’utilisez pas de portefeuille matériel, abstenez-vous pour l’instant d’effectuer toute transaction on-chain. »

Il a également souligné l’incertitude quant à la capacité des attaquants à extraire directement les phrases seed des portefeuilles logiciels.

Ciblage sophistiqué

L’attaque représente un ciblage sophistiqué de la chaîne d’approvisionnement, où des criminels compromettent une infrastructure de développement de confiance pour atteindre les utilisateurs finaux.

En infiltrant des paquets téléchargés des milliards de fois chaque semaine, les attaquants ont obtenu un accès sans précédent aux applications de crypto-monnaies et aux interfaces de portefeuilles.

BleepingComputer a identifié l’infrastructure de phishing exfiltrant les identifiants vers “websocket-api2.publicvm.com”, démontrant la nature coordonnée de l’opération.

Cet incident fait suite à des compromissions similaires de bibliothèques JavaScript tout au long de 2025, y compris l’attaque de juillet sur “eslint-config-prettier”, qui comptait 30 millions de téléchargements hebdomadaires, et les compromissions de mars affectant dix bibliothèques NPM populaires.

L’article Largest supply chain attack in history targets crypto users through compromised JavaScript packages est apparu en premier sur CryptoSlate.