Veuillez noter que certains liens présents dans ce guide peuvent être des liens d'affiliation, mais que cela n'impacte pas l'objectivité de notre contenu. 
Nouvelle attaque dans la chaîne d’approvisionnement logicielle. Des paquets NPM (gestionnaire de bibliothèques de code JavaScript) publiés en juillet ont servi de chevaux de Troie minimalistes qui ne livraient pas d’URL malveillantes en clair, mais allaient les chercher à la demande dans des smart contracts Ethereum. Objectif déclaré par les chercheurs de ReversingLabs: bypasser les scans et se fondre dans un trafic blockchain perçu comme légitime.
Deux packages, colortoolsv2 et mimelib2, sont cités dans le rapport, avec un mode opératoire identique: télécharger un second étage une fois l’adresse de commande récupérée on-chain. Cette approche illustre la montée en gamme des campagnes visant NPM et GitHub, déjà sous pression depuis 2023.
⚠️ New RL threat research: 2 malicious #npm packages abuse #Ethereum smart contracts to load #malware on compromised devices. https://t.co/wzDRKfm2yh
— ReversingLabs (@ReversingLabs) September 3, 2025
Le tour de passe-passe: URL cachée on-chain, charge utile off-chain
Les paquets incriminés ne contenaient qu’un downloader (programme de téléchargement). Au lieu de coder en dur un lien, ils interrogeaient un contrat Ethereum pour récupérer l’adresse d’un serveur C2 (serveur de commande et contrôle des pirates), puis tiraient la seconde charge. Cette séparation brouille les radars: un audit statique du code NPM ne voit pas d’IOC (indicateur de compromission) évident, et le trafic vers la blockchain ressemble à une requête légitime. Des médias spécialisés et des titres cybersécurité confirment les grandes lignes techniques publiées par ReversingLabs, insistant sur l’originalité du logement des commandes dans un smart contract plutôt que dans un dépôt externe classique.
Pourquoi cette technique inquiète la supply chain open source
Le maillon visé reste le développeur. Les attaquants ont maquillé des dépôts GitHub en bots de trading crypto crédibles, avec commits (modifications de code) étoffés, multiples mainteneurs et documentations soignées, puis ont poussé des paquets vers NPM. L’enchaînement crée une illusion de normalité: on installe une dépendance « utilitaire », puis on importe la charge finale. L’innovation n’est pas l’usage des smart contracts pour des opérations malicieuses, déjà observé par ailleurs, mais leur rôle d’annuaire de commandes qui décorrèle le paquet de la charge et complique la détection.
Les éditeurs de sécurité y voient un prochain terrain de jeu des attaques supply chain, où l’infrastructure Web3 devient un composant de la chaîne d’attaque informatique. Cette évolution des techniques d’attaque blockchain nécessite une adaptation constante des défenses.
Source : https://twitter.com/TheHackersNews/status/1963331482321326216
Les signaux d’alerte à surveiller
Concrètement, plusieurs indicateurs doivent déclencher des vérifications. D’abord, la présence d’appels RPC (protocole de communication entre programmes) ou de librairies Web3 dans des paquets qui n’en ont pas l’usage fonctionnel. Ensuite, des requêtes anormales vers des points d’accès Ethereum publics ou privés. Troisième point, des sections de code obfusquées (rendues illisibles volontairement) qui ne font que télécharger et exécuter sans justification directe avec la finalité du paquet. Enfin, des références à des adresses de contrats non documentées dans le README.
Ces signaux ne prouvent pas l’attaque à eux seuls, mais ils justifient une mise en quarantaine et un sandboxing (environnement isolé de test) du flux d’installation pour observation. Les CERT (centres de réponse aux urgences informatiques) et médias techniques recommandent déjà d’étendre les IOC aux adresses de contrats et non plus uniquement aux domaines, IP et hash (empreinte numérique). Dans ce contexte de sécurité blockchain, la vigilance devient cruciale.
Impact et suite: un précédent qui va faire école
Les premiers chiffres de téléchargement semblent faibles, mais l’ingéniosité du procédé en fait un précédent. Les attaquants testent des chaînes d’exécution modulaires: emballage open source, redirection on-chain, payload (charge malveillante).
Cet épisode rappelle que la supply chain open source reste un champ de bataille mouvant où la créativité est souvent côté attaque en premier.
