Charles Guillemet, Directeur Technique de Ledger, a exhorté lundi les utilisateurs de cryptomonnaies à prendre des précautions immédiates à la suite de ce qui semble être une cyberattaque d’envergure sur la chaîne d’approvisionnement visant l’écosystème JavaScript.
Dans un message sur X, Guillemet a expliqué que le compte NPM d’un développeur de confiance avait été compromis, avec un code malveillant intégré dans des packages largement utilisés.
Ces packages auraient été téléchargés plus d’un milliard de fois, ce qui soulève des inquiétudes quant à la vulnérabilité potentielle d’innombrables applications, y compris celles liées à la cryptomonnaie.
“Il y a une attaque d’envergure sur la chaîne d’approvisionnement en cours”, a déclaré Guillemet, en ajoutant que les utilisateurs de portefeuilles matériels restent en sécurité tant qu’ils vérifient soigneusement les transactions avant de les signer.
Il a conseillé aux autres d’éviter temporairement les transactions en chaîne jusqu’à ce que la situation soit maîtrisée.
Le code malveillant fonctionne en modifiant silencieusement les adresses de crypto, en redirigeant les fonds vers les attaquants à l’insu de l’utilisateur.
L’incident a été décrit par certains développeurs comme étant potentiellement “la plus grande attaque contre une chaîne d’approvisionnement jamais enregistrée”.
Lisez aussi : D’ici 2030, les stablecoins pourraient atteindre une capitalisation de 4 000 milliards de dollars selon Bernstein
Selon des chercheurs en sécurité comme @0x_ultra, des bibliothèques à volume élevé telles que Chalk et leurs dépendances, qui enregistrent des milliards de téléchargements par semaine, ont été compromises.
Il a averti que ces packages corrompus pourraient exposer des clés privées.
Le responsable du package a confirmé la faille, expliquant que les attaquants avaient utilisé des emails d’hameçonnage d’un faux domaine npmjs.com pour prendre le contrôle des comptes.
Bien que des versions corrigées aient été publiées vers 15h15 UTC, les experts ont averti que les applications frontend pourraient encore être à risque.
@0xCygaar a noté que bien que NPM ait désactivé les versions compromises, les développeurs qui ont récemment effectué des mises à jour devraient vérifier attentivement leurs dépendances.
Guillemet a souligné une fois de plus que les portefeuilles matériels dotés de fonctionnalités de signature claire restent sécurisés, alors que les utilisateurs qui ne comptent que sur les portefeuilles logiciels sont les plus exposés.
L’attaque rappelle des incidents passés au cours desquels des logiciels malveillants de type “swapping” d’adresses avaient redirigé des fonds, faisant écho aux techniques liées aux hackers nord-coréens dans les précédentes violations d’échange.
Lire la suite :
Image : Shutterstock