{"id":8732,"date":"2025-09-09T11:00:27","date_gmt":"2025-09-09T11:00:27","guid":{"rendered":"https:\/\/icobench.com\/fr\/?p=8732"},"modified":"2025-09-09T10:50:26","modified_gmt":"2025-09-09T10:50:26","slug":"attaque-npm-cible-portefeuilles-crypto-26-milliards","status":"publish","type":"post","link":"https:\/\/icobench.com\/fr\/news\/attaque-npm-cible-portefeuilles-crypto-26-milliards\/","title":{"rendered":"2,6 milliards de t\u00e9l\u00e9chargements compromis : une attaque npm cible les portefeuilles crypto"},"content":{"rendered":"
Un lot de biblioth\u00e8ques JavaScript tr\u00e8s utilis\u00e9es a \u00e9t\u00e9 pi\u00e9g\u00e9 sur npm. Au c\u0153ur du pi\u00e8ge, un code qui remplace silencieusement les adresses de portefeuilles crypto lors des transactions.<\/strong> L\u2019attaque touche des paquets totalisant environ 2,6 milliards de t\u00e9l\u00e9chargements hebdomadaires, r\u00e9v\u00e9lant une fragilit\u00e9 structurelle du logiciel moderne.<\/p>\n Le 8 septembre 2025, un mainteneur reconnu s\u2019est fait d\u00e9rober l\u2019acc\u00e8s \u00e0 son compte npm<\/strong> via hame\u00e7onnage. Les assaillants ont publi\u00e9 de nouvelles versions infect\u00e9es de biblioth\u00e8ques embl\u00e9matiques, puis\u00e9 dans la confiance de l\u2019\u00e9cosyst\u00e8me et laiss\u00e9 un drainer crypto agir dans l\u2019ombre. Le leurre venait d\u2019un domaine factice, npmjs.help, mimant une demande de mise \u00e0 jour 2FA.<\/p>\n Parmi les paquets pi\u00e9g\u00e9s figurent notamment chalk, debug, ansi-styles, strip-ansi, color-convert et d\u2019autres briques minuscules mais omnipr\u00e9sentes dans les arbres de d\u00e9pendances. Ce ne sont pas des outils \u201ccrypto\u201d \u00e0 l\u2019origine, pourtant ils irriguent d\u2019innombrables front-ends, back-ends et dApps. La port\u00e9e potentielle explique le chiffre vertigineux : pr\u00e8s de 2,6 milliards de t\u00e9l\u00e9chargements par semaine.<\/strong><\/p>\n Le code malveillant agit c\u00f4t\u00e9 navigateur : il intercepte les appels r\u00e9seau (fetch, XMLHttpRequest) et les API de portefeuilles (comme window.ethereum), puis substitue l\u2019adresse du destinataire par celle de l\u2019attaquant avant la signature. R\u00e9sultat : les fonds partent vers la mauvaise cl\u00e9 sans signal visible. L\u2019implant supporte plusieurs cha\u00eenes, dont Ethereum<\/a> et Solana<\/a>.<\/strong><\/p>\n JavaScript est devenu la colle du Web 3<\/strong>. Si une dApp ou un site int\u00e8gre une version compromise, l\u2019attaquant se retrouve dans le m\u00eame contexte d\u2019ex\u00e9cution que le portefeuille de l\u2019utilisateur. \u00c0 cette distance z\u00e9ro, nul besoin d\u2019un exploit exotique : une r\u00e9\u00e9criture subtile d\u2019un JSON, un hook bien plac\u00e9, et l\u2019adresse change.<\/p>\nCe qui s\u2019est pass\u00e9, concr\u00e8tement<\/span><\/h2>\n
<\/p>\n
<\/p>\nPourquoi les portefeuilles crypto sont dans la ligne de mire<\/span><\/h2>\n
<\/p>\n