La semaine dernière, un hack de la librairie npm avait secoué l’industrie crypto. Fort heureusement, malgré l’ampleur de la menace, les pirates n’avaient pu voler que quelques centaines de dollars USD.
On découvre à présent qu’une deuxième attaque npm a été signalée. Comme la première fois, la menace a rapidement été mise en évidence. Faut-il s’inquiéter de cette nouvelle menace ? Et surtout, quelles sont les mesures de sécurité à prendre par les crypto-enthousiastes ?
Un deuxième hack de paquets npm en une semaine ?
Le 9 septembre dernier, la communauté crypto était sous le choc d’un hack de grande envergure. Aujourd’hui, une semaine plus tard, on découvre qu’un nouveau hack adopte la même méthodologie et pourrait s’avérer bien plus dévastateur.
En effet, le paquet npm @ctrl/tinycolor a été compromis par des pirates. Ce paquet est téléchargé plus de 2,2 millions de fois chaque semaine. De là, une quarantaine d’autres paquets ont été compromis et transformés en outils de déploiement d’un infostealer.
Contrairement à la première attaque npm, le code malicieux introduit dans les paquets npm compromis ne cible pas spécifiquement les cryptomonnaies. Ceci ne signifie toutefois pas que les données personnelles, les clés privées et les phrases seed ne sont pas menacées par ce hack.
Cette fois-ci, le code malicieux cherche à voler les données secrètes des développeurs. Notamment, les identifiants AWS, les clés Github et plus encore. Ceci ne cible pas directement les cryptomonnaies. Ceci dit, cette méthodologie pourrait être considérablement plus dévastatrice que la première compromission de paquets npm.

Les détenteurs de cryptomonnaies sont-ils menacés ?
Contrairement à d’autres hacks crypto, cette menace n’affecte pas directement les détenteurs d’actifs crypto. Certes, il pourrait arriver que certaines personnes soient immédiatement victimes de cette compromission, mais ce maliciel opère autrement.
Ce sont plutôt les développeurs et l’infrastructure cloud qui sont directement menacés par ce hack. Pour comprendre l’ampleur de la menace, il faut comprendre le fonctionnement de ce malware.
Le code malicieux permet d’injecter des consignes lors du développement et du déploiement de mises-à-jour. Ainsi, lorsque les développeurs font appel aux paquets npm compromis, leurs appareils sont immédiatement infectés et leurs informations sensibles peuvent être exfiltrées.
Armés de ces informations privilégiées et des identifiants, les pirates pourraient alors opérer de façon plus dévastatrice. Ils pourraient, par exemple, développer des clones indétectables, siphonner les actifs des utilisateurs ou déployer des patchs malicieux d’applications populaires. À titre illustratif, une mise-à-jour d’une application wallet populaire pourrait se solder par le vol de millions d’utilisateurs.
Se protéger des compromissions avec Best Wallet
Best Wallet est une application de portefeuille crypto non-dépositaire. Comme de nombreux autres développeurs qui n’ont pas été affectés par le précédent hack, Best Wallet mise sur la sécurité dans tous les aspects dès son développement.
3 Tips to Keep Your Wallet Secure 🔐
1️⃣ Always store your private key safely, preferably offline.
2️⃣ No one from Best Wallet will ever DM you asking for your private keys.
3️⃣ Enable passcodes, biometrics, and cloud backup for extra protection.Stay alert, stay in control. 💪 pic.twitter.com/JAFbcV4sPe
— Best Wallet (@BestWalletHQ) September 10, 2025
Mais au-delà du développement en amont, Best Wallet propose la double authentification. Autrement dit, pour accéder à votre patrimoine crypto, des agents malicieux devraient disposer de votre moyen de validation.
À cela s’ajoutent des mécanismes de récupération décentralisés pour votre compte, ainsi que des outils anti-fraude avancés. Autrement dit, Best Wallet se hisse au rang des wallets crypto les plus sécurisés. Un exploit qui lui a déjà valu de lever plus de 15,8 millions $ en prévente avec son jeton à 0.025645 $.
Les crypto-actifs représentent un investissement risqué.
Cet article ne représente en aucun cas un conseil en investissement. Les informations fournies ici ne doivent pas être utilisées comme base pour prendre des décisions financières. Les investissements en crypto-monnaie comportent des risques et peuvent entraîner des pertes importantes. Il convient d’investir uniquement ce que vous pouvez vous permettre de perdre et d’effectuer vos propres recherches avant de prendre toute décision d’investissement.
