Des hackers ont utilisé de faux sites Web pour voler un compte npm de confiance et propager du code malveillant à travers des packages populaires.
Les portefeuilles crypto comme MetaMask et Trust Wallet pourraient être à risque s'ils utilisaient les bibliothèques JavaScript infectées.
Les utilisateurs devraient arrêter de signer des transactions et vérifier tous les paquets si leurs applications ont récemment été mises à jour via npm.
Une attaque majeure de la chaîne d'approvisionnement a compromis un compte npm JavaScript largement utilisé. Les chercheurs ont confirmé que le code malveillant a déjà infecté 18 packages populaires. Ces packages ont été téléchargés plus de 2 milliards de fois rien que la semaine dernière. Les packages affectés contiennent du code capable de remplacer silencieusement les adresses de portefeuilles crypto.
Cette attaque est conçue pour détourner les transactions à l'insu de l'utilisateur. Même si les utilisateurs signent la transaction ayant l'apparence correcte, les fonds peuvent toujours aller à l'attaquant. L'écosystème JavaScript est en danger en raison de la manière dont ces paquets sont intégrés en profondeur. Les développeurs sont invités à auditer et à supprimer immédiatement les dépendances affectées.
Les portefeuilles cryptographiques et les écosystèmes en danger
L'attaque touche de nombreux portefeuilles bien connus basés sur le navigateur et de bureau. Tels que : MetaMask, Trust Wallet et Exodus. Les portefeuilles matériels restent plus sûrs, cependant, les utilisateurs doivent toujours vérifier attentivement les détails des transactions. L'attaquant utilise des adresses de portefeuille similaires pour tromper les utilisateurs pendant le processus de signature.
Seule une vérification détaillée caractère par caractère peut repérer la différence. La plupart des utilisateurs vérifient uniquement les premiers et derniers caractères des adresses de portefeuille. Cela les rend vulnérables aux tactiques d'échange d'adresses. Les scripts automatisés et les contrats intelligents sont également à risque s'ils s'appuient sur les bibliothèques compromises.
Le point d'entrée était un compte développeur compromis
La violation a commencé lorsque des attaquants ont pris le contrôle du compte d'un mainteneur npm de confiance. Les chercheurs pensent que cela a été fait en utilisant du phishing et de fausses invites d'authentification à deux facteurs.
Récemment, des chercheurs en cybersécurité ont remarqué que des hackers cachaient des malwares dans des contrats intelligents Ethereum via des paquets NPM, utilisant des URL de blockchain pour contourner les analyses et livrer des charges utiles de deuxième stade. Les attaquants ont créé de faux dépôts GitHub avec des commits fabriqués et plusieurs comptes pour augmenter leur crédibilité. Les utilisateurs de GitHub ont signalé des e-mails suspects prétendant venir du support npm.
L'attaquant a utilisé un domaine qui imitait le véritable site web npm. Ces e-mails menaçaient de verrouiller les comptes pour forcer les développeurs à cliquer sur des liens de phishing. Une fois compromis, le compte a été utilisé pour mettre à jour plusieurs paquets avec des charges utiles malveillantes. Certains paquets ont été corrigés plus tard, mais d'autres restent non sécurisés.
Avertissements de sécurité et réponse des développeurs
Les équipes de sécurité et les chercheurs avertissent les utilisateurs d'éviter les activités on-chain pour le moment. Les utilisateurs de crypto devraient désactiver les portefeuilles de navigateur et arrêter de signer des transactions temporairement. Aucune perte majeure n'a encore été signalée, mais les risques restent élevés.
Certain plateformes DeFi, y compris Axiom et Kamino, ont confirmé qu'elles n'avaient pas utilisé les packages infectés. Pourtant, les développeurs doivent vérifier toutes les dépendances, en particulier celles liées à des bibliothèques populaires comme Chalk. Ce type de vulnérabilité a également été noté en 2024 lorsque des hackers ont exploité Lottie Player Java Script, compromettant des portefeuilles sur des sites DeFi de confiance comme 1inch.
L'équipe npm a désactivé les versions compromises connues, mais les mises à jour récentes peuvent encore comporter des risques. L'ampleur complète de l'attaque reste inconnue. La menace pourrait s'étendre si d'autres comptes de développeurs sont ciblés en utilisant des tactiques de phishing similaires.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Compte NPM de confiance piraté pour diffuser un code malveillant qui met en danger les transactions Crypto et les Portefeuilles A...
Des hackers ont utilisé de faux sites Web pour voler un compte npm de confiance et propager du code malveillant à travers des packages populaires.
Les portefeuilles crypto comme MetaMask et Trust Wallet pourraient être à risque s'ils utilisaient les bibliothèques JavaScript infectées.
Les utilisateurs devraient arrêter de signer des transactions et vérifier tous les paquets si leurs applications ont récemment été mises à jour via npm.
Une attaque majeure de la chaîne d'approvisionnement a compromis un compte npm JavaScript largement utilisé. Les chercheurs ont confirmé que le code malveillant a déjà infecté 18 packages populaires. Ces packages ont été téléchargés plus de 2 milliards de fois rien que la semaine dernière. Les packages affectés contiennent du code capable de remplacer silencieusement les adresses de portefeuilles crypto.
Cette attaque est conçue pour détourner les transactions à l'insu de l'utilisateur. Même si les utilisateurs signent la transaction ayant l'apparence correcte, les fonds peuvent toujours aller à l'attaquant. L'écosystème JavaScript est en danger en raison de la manière dont ces paquets sont intégrés en profondeur. Les développeurs sont invités à auditer et à supprimer immédiatement les dépendances affectées.
Les portefeuilles cryptographiques et les écosystèmes en danger
L'attaque touche de nombreux portefeuilles bien connus basés sur le navigateur et de bureau. Tels que : MetaMask, Trust Wallet et Exodus. Les portefeuilles matériels restent plus sûrs, cependant, les utilisateurs doivent toujours vérifier attentivement les détails des transactions. L'attaquant utilise des adresses de portefeuille similaires pour tromper les utilisateurs pendant le processus de signature.
Seule une vérification détaillée caractère par caractère peut repérer la différence. La plupart des utilisateurs vérifient uniquement les premiers et derniers caractères des adresses de portefeuille. Cela les rend vulnérables aux tactiques d'échange d'adresses. Les scripts automatisés et les contrats intelligents sont également à risque s'ils s'appuient sur les bibliothèques compromises.
Le point d'entrée était un compte développeur compromis
La violation a commencé lorsque des attaquants ont pris le contrôle du compte d'un mainteneur npm de confiance. Les chercheurs pensent que cela a été fait en utilisant du phishing et de fausses invites d'authentification à deux facteurs.
Récemment, des chercheurs en cybersécurité ont remarqué que des hackers cachaient des malwares dans des contrats intelligents Ethereum via des paquets NPM, utilisant des URL de blockchain pour contourner les analyses et livrer des charges utiles de deuxième stade. Les attaquants ont créé de faux dépôts GitHub avec des commits fabriqués et plusieurs comptes pour augmenter leur crédibilité. Les utilisateurs de GitHub ont signalé des e-mails suspects prétendant venir du support npm.
L'attaquant a utilisé un domaine qui imitait le véritable site web npm. Ces e-mails menaçaient de verrouiller les comptes pour forcer les développeurs à cliquer sur des liens de phishing. Une fois compromis, le compte a été utilisé pour mettre à jour plusieurs paquets avec des charges utiles malveillantes. Certains paquets ont été corrigés plus tard, mais d'autres restent non sécurisés.
Avertissements de sécurité et réponse des développeurs
Les équipes de sécurité et les chercheurs avertissent les utilisateurs d'éviter les activités on-chain pour le moment. Les utilisateurs de crypto devraient désactiver les portefeuilles de navigateur et arrêter de signer des transactions temporairement. Aucune perte majeure n'a encore été signalée, mais les risques restent élevés.
Certain plateformes DeFi, y compris Axiom et Kamino, ont confirmé qu'elles n'avaient pas utilisé les packages infectés. Pourtant, les développeurs doivent vérifier toutes les dépendances, en particulier celles liées à des bibliothèques populaires comme Chalk. Ce type de vulnérabilité a également été noté en 2024 lorsque des hackers ont exploité Lottie Player Java Script, compromettant des portefeuilles sur des sites DeFi de confiance comme 1inch.
L'équipe npm a désactivé les versions compromises connues, mais les mises à jour récentes peuvent encore comporter des risques. L'ampleur complète de l'attaque reste inconnue. La menace pourrait s'étendre si d'autres comptes de développeurs sont ciblés en utilisant des tactiques de phishing similaires.