{"id":9374,"date":"2025-09-16T19:00:53","date_gmt":"2025-09-16T19:00:53","guid":{"rendered":"https:\/\/icobench.com\/fr\/?p=9374"},"modified":"2025-12-01T08:27:48","modified_gmt":"2025-12-01T08:27:48","slug":"deuxieme-hack-npm-plus-peur-que-mal-pour-cryptos","status":"publish","type":"post","link":"https:\/\/icobench.com\/fr\/news\/deuxieme-hack-npm-plus-peur-que-mal-pour-cryptos\/","title":{"rendered":"Deuxi\u00e8me hack NPM, plus de peur que de mal pour les cryptos ?"},"content":{"rendered":"

La semaine derni\u00e8re, un hack de la librairie npm avait secou\u00e9 l\u2019industrie crypto<\/strong>. Fort heureusement, malgr\u00e9 l\u2019ampleur de la menace, les pirates n\u2019avaient pu voler que quelques centaines de dollars USD.<\/p>\n

On d\u00e9couvre \u00e0 pr\u00e9sent qu\u2019une deuxi\u00e8me attaque npm <\/strong>a \u00e9t\u00e9 signal\u00e9e<\/strong>. Comme la premi\u00e8re fois, la menace a rapidement \u00e9t\u00e9 mise en \u00e9vidence. Faut-il s\u2019inqui\u00e9ter de cette nouvelle menace ? Et surtout, quel<\/strong>les sont les mesures de s\u00e9curit\u00e9 \u00e0 prendre par les crypto-enthousiastes<\/strong> ?<\/p>\n

Un deuxi\u00e8me hack de paquets npm en une semaine ?<\/span><\/h2>\n

Le 9 septembre dernier, la communaut\u00e9 crypto \u00e9tait sous le choc d\u2019un hack de grande envergure<\/strong>. Aujourd\u2019hui, une semaine plus tard, on d\u00e9couvre qu\u2019un nouveau hack adopte la m\u00eame m\u00e9thodologie<\/a> et pourrait s\u2019av\u00e9rer bien plus d\u00e9vastateur.<\/p>\n

En effet, le paquet npm @ctrl\/tinycolor<\/strong> a \u00e9t\u00e9 compromis par des pirates. Ce paquet est t\u00e9l\u00e9charg\u00e9 plus de 2,2 millions de fois chaque semaine. De l\u00e0, une quarantaine d\u2019autres paquets ont \u00e9t\u00e9 compromis<\/strong> et transform\u00e9s en outils de d\u00e9ploiement d\u2019un infostealer<\/strong>.<\/p>\n

Contrairement \u00e0 la premi\u00e8re attaque npm, le code malicieux introduit dans les paquets npm compromis ne cible pas sp\u00e9cifiquement les cryptomonnaies<\/strong>. Ceci ne signifie toutefois pas que les donn\u00e9es personnelles, les cl\u00e9s priv\u00e9es et les phrases seed ne sont pas menac\u00e9es par ce hack.<\/p>\n

Cette fois-ci, le code malicieux cherche \u00e0 voler les donn\u00e9es secr\u00e8tes des d\u00e9veloppeurs. Notamment, les identifiants AWS<\/strong>, les cl\u00e9s Github<\/strong> et plus encore. Ceci ne cible pas directement les cryptomonnaies. Ceci dit, cette m\u00e9thodologie pourrait \u00eatre consid\u00e9rablement plus d\u00e9vastatrice que la premi\u00e8re compromission de paquets npm<\/a>.<\/p>\n

\"@feross
Source : @feross sur X<\/a><\/figcaption><\/figure>\n

Les d\u00e9tenteurs de cryptomonnaies sont-ils menac\u00e9s ?<\/span><\/h2>\n

Contrairement \u00e0 d\u2019autres hacks crypto, cette menace n\u2019affecte pas directement les d\u00e9tenteurs d\u2019actifs crypto<\/strong>. Certes, il pourrait arriver que certaines personnes soient imm\u00e9diatement victimes de cette compromission, mais ce maliciel op\u00e8re autrement.<\/p>\n

Ce sont plut\u00f4t les d\u00e9veloppeurs<\/strong> et l\u2019infrastructure cloud qui sont directement menac\u00e9s par ce hack<\/strong>. Pour comprendre l\u2019ampleur de la menace, il faut comprendre le fonctionnement de ce malware.<\/p>\n

Le code malicieux permet d\u2019injecter des consignes lors du d\u00e9veloppement et du d\u00e9ploiement de mises-\u00e0-jour. Ainsi, lorsque les d\u00e9veloppeurs font appel aux paquets npm compromis, leurs appareils sont imm\u00e9diatement infect\u00e9s et leurs informations sensibles peuvent \u00eatre exfiltr\u00e9es<\/strong>.<\/p>\n

Arm\u00e9s de ces informations privil\u00e9gi\u00e9es et des identifiants, les pirates pourraient alors op\u00e9rer de fa\u00e7on plus d\u00e9vastatrice<\/strong>. Ils pourraient, par exemple, d\u00e9velopper des clones<\/strong> ind\u00e9tectables, <\/strong>siphonner les actifs des utilisateurs<\/a>\u00a0ou d\u00e9ployer des patchs malicieux d\u2019applications populaires<\/strong>. \u00c0 titre illustratif, une mise-\u00e0-jour d\u2019une application wallet populaire pourrait se solder par le vol de millions d\u2019utilisateurs.<\/p>\n

Se prot\u00e9ger des compromissions avec Best Wallet<\/span><\/h2>\n

Best Wallet<\/a> est une application de portefeuille crypto non-d\u00e9positaire<\/strong>. Comme de nombreux autres d\u00e9veloppeurs qui n\u2019ont pas \u00e9t\u00e9 affect\u00e9s par le pr\u00e9c\u00e9dent hack, Best Wallet mise sur la s\u00e9curit\u00e9 dans tous les aspects d<\/strong>\u00e8s son d\u00e9veloppement<\/strong>.<\/p>\n

\n

3 Tips to Keep Your Wallet Secure \ud83d\udd10<\/p>\n

1\ufe0f\u20e3 Always store your private key safely, preferably offline.
2\ufe0f\u20e3 No one from Best Wallet will ever DM you asking for your private keys.
3\ufe0f\u20e3 Enable passcodes, biometrics, and cloud backup for extra protection.<\/p>\n

Stay alert, stay in control. \ud83d\udcaa pic.twitter.com\/JAFbcV4sPe<\/a><\/p>\n

\u2014 Best Wallet (@BestWalletHQ) September 10, 2025<\/a><\/p><\/blockquote>\n