Des hackers planquent des malwares dans Ethereum

Avertissement : l'information présente dans ce guide ne constitue pas un conseil en investissement. Faites toujours vos propres recherches avant d'investir, et ne mettez pas en jeu une somme d'argent que vous ne pouvez pas vous permettre de perdre.
Pourquoi Nous Faire Confiance
Pourquoi Nous Faire Confiance
Ethereum Hackers

Une nouvelle astuce de cybercriminels secoue l’écosystème open source. Des paquets npm ont utilisé des contrats intelligents Ethereum pour cacher des liens malveillants et contourner les contrôles de sécurité. L’affaire, documentée début septembre, illustre une montée en gamme des attaques visant développeurs et projets crypto.

Contrats Ethereum détournés : le cœur de l’attaque

Dès juillet, deux paquets npm (colortoolsv2 et son clone mimelib2) ont récupéré, non pas des URL codées en dur, mais des adresses de serveurs de commande (C2) stockées dans des contrats intelligents Ethereum. Une fois la dépendance installée, un script obfusqué interrogeait la blockchain, obtenait l’emplacement du « second étage » et lançait le téléchargement du malware. C’est la pièce maîtresse du stratagème.

Ethereum NPM
le package npm colortoolsv2 remplacé par mimelib2.

Concrètement, le code ne faisait que deux choses : tourner silencieusement et déporter l’instruction critique hors du paquet. De ce fait, les scanners à la recherche d’URL suspectes dans le code source ne voyaient rien d’anormal. Le paquet semblait banal, la charge virale restait en embuscade, et la chaîne d’infection se déclenchait plus tard.

Les chercheurs de ReversingLabs parlent d’un mécanisme « pas encore observé » dans des paquets npm, reposant sur des smart contracts publics utilisés comme relais C2. Les deux modules ont été retirés après signalement aux mainteneurs npm, mais l’approche crée un précédent.

Pourquoi cette ruse déjoue les défenses

D’habitude, un « downloader » va chercher sa charge utile via un lien visible dans le paquet. Ici, l’adresse est sur Ethereum. Ce simple déplacement change tout. L’appel vers la blockchain ressemble à une interaction légitime. Il passe sous le radar de nombreux outils de détection centrés sur le contenu applicatif plutôt que sur le flux réseau.

NPM-Depot
Charge utile malveillante.

L’infrastructure C2 n’est plus figée dans le code. L’attaquant peut mettre à jour, dans le contrat, l’URL pointant vers le prochain serveur sans republier de paquet. La prise de tête pour les équipes chargées de sécurité augmente, car la « vérité » opérationnelle vit on-chain, loin des dépôts analysés.

Dit autrement, Ethereum est devenu ici un bus de configuration persistant. La traçabilité n’empêche pas l’abus. Même publics, ces contrats servent de proxy discret, androgynes pour les systèmes qui ne s’attendent pas à voir un outil JavaScript tirer des instructions C2 d’un bytecode on-chain.

Leurre open source : faux bots de trading et métriques gonflées

Le code malveillant n’arrivait pas seul. Les attaquants ont maquillé des dépôts GitHub en « bots de trading » ultra-actifs, avec étoiles, mainteneurs et milliers de commits artificiels. Le projet solana-trading-bot-v2 en est l’exemple canonique. Il enregistre une activité frénétique, des contributeurs de façade, et la dépendance piégée ajoutée en douce. L’objectif consiste à convaincre des développeurs pressés d’ajouter la librairie.

Faux dépôt GitHub solana-trading-bot-v2.
Faux dépôt GitHub solana-trading-bot-v2.

Sous le vernis, presque tout sonnait creux. Beaucoup de commits ne touchaient qu’un fichier de licence. Plusieurs comptes « stargazers » avaient été créés le même jour et ne contenaient qu’un README vide. La crédibilité naissait de l’abondance, pas de la substance. Là encore, le C2 restait dans Ethereum. GitHub n’affichait que la façade.

Après signalement, npm et certains dépôts liés ont été retirés. Mais les chercheurs estiment que la campagne est plus large et pourrait réapparaître sous d’autres noms. Les résumés de presse spécialisés confirment la tendance. La chaîne d’approvisionnement logicielle crypto devient une cible régulière et créative.

Ne vous contentez pas de « lire » un paquet, regardez qui le porte. Un historique mainteneur sincère vaut mieux que des compteurs flatteurs. Si un dépôt multiplié par des commits cosmétiques vous paraît trop actif pour être honnête, c’est probablement le cas. Prenez le temps de vérifier les profils et l’ancienneté des comptes.

Par lucie

Plongée dans l’univers du numérique depuis plus de dix ans, Lucie Moinet s’est rapidement passionnée pour les crypto-monnaies et les révolutions financières décentralisées. Attentive aux évolutions du Web3, elle aime décrypter les tendances et rendre accessibles des sujets souvent techniques. Souhaitant aider chacun à mieux comprendre les enjeux de la blockchain et à saisir les opportunités de cette nouvelle ère elle a décidé d'utiliser sa plume ou plutôt son clavier dans ce but.