{"id":9374,"date":"2025-09-16T19:00:53","date_gmt":"2025-09-16T19:00:53","guid":{"rendered":"https:\/\/icobench.com\/fr\/?p=9374"},"modified":"2025-12-01T08:27:48","modified_gmt":"2025-12-01T08:27:48","slug":"deuxieme-hack-npm-plus-peur-que-mal-pour-cryptos","status":"publish","type":"post","link":"https:\/\/icobench.com\/fr\/news\/deuxieme-hack-npm-plus-peur-que-mal-pour-cryptos\/","title":{"rendered":"Deuxi\u00e8me hack NPM, plus de peur que de mal pour les cryptos ?"},"content":{"rendered":"
La semaine derni\u00e8re, un hack de la librairie npm avait secou\u00e9 l\u2019industrie crypto<\/strong>. Fort heureusement, malgr\u00e9 l\u2019ampleur de la menace, les pirates n\u2019avaient pu voler que quelques centaines de dollars USD.<\/p>\n On d\u00e9couvre \u00e0 pr\u00e9sent qu\u2019une deuxi\u00e8me attaque npm <\/strong>a \u00e9t\u00e9 signal\u00e9e<\/strong>. Comme la premi\u00e8re fois, la menace a rapidement \u00e9t\u00e9 mise en \u00e9vidence. Faut-il s\u2019inqui\u00e9ter de cette nouvelle menace ? Et surtout, quel<\/strong>les sont les mesures de s\u00e9curit\u00e9 \u00e0 prendre par les crypto-enthousiastes<\/strong> ?<\/p>\n Le 9 septembre dernier, la communaut\u00e9 crypto \u00e9tait sous le choc d\u2019un hack de grande envergure<\/strong>. Aujourd\u2019hui, une semaine plus tard, on d\u00e9couvre qu\u2019un nouveau hack adopte la m\u00eame m\u00e9thodologie<\/a> et pourrait s\u2019av\u00e9rer bien plus d\u00e9vastateur.<\/p>\n En effet, le paquet npm @ctrl\/tinycolor<\/strong> a \u00e9t\u00e9 compromis par des pirates. Ce paquet est t\u00e9l\u00e9charg\u00e9 plus de 2,2 millions de fois chaque semaine. De l\u00e0, une quarantaine d\u2019autres paquets ont \u00e9t\u00e9 compromis<\/strong> et transform\u00e9s en outils de d\u00e9ploiement d\u2019un infostealer<\/strong>.<\/p>\n Contrairement \u00e0 la premi\u00e8re attaque npm, le code malicieux introduit dans les paquets npm compromis ne cible pas sp\u00e9cifiquement les cryptomonnaies<\/strong>. Ceci ne signifie toutefois pas que les donn\u00e9es personnelles, les cl\u00e9s priv\u00e9es et les phrases seed ne sont pas menac\u00e9es par ce hack.<\/p>\n Cette fois-ci, le code malicieux cherche \u00e0 voler les donn\u00e9es secr\u00e8tes des d\u00e9veloppeurs. Notamment, les identifiants AWS<\/strong>, les cl\u00e9s Github<\/strong> et plus encore. Ceci ne cible pas directement les cryptomonnaies. Ceci dit, cette m\u00e9thodologie pourrait \u00eatre consid\u00e9rablement plus d\u00e9vastatrice que la premi\u00e8re compromission de paquets npm<\/a>.<\/p>\n Contrairement \u00e0 d\u2019autres hacks crypto, cette menace n\u2019affecte pas directement les d\u00e9tenteurs d\u2019actifs crypto<\/strong>. Certes, il pourrait arriver que certaines personnes soient imm\u00e9diatement victimes de cette compromission, mais ce maliciel op\u00e8re autrement.<\/p>\n Ce sont plut\u00f4t les d\u00e9veloppeurs<\/strong> et l\u2019infrastructure cloud qui sont directement menac\u00e9s par ce hack<\/strong>. Pour comprendre l\u2019ampleur de la menace, il faut comprendre le fonctionnement de ce malware.<\/p>\n Le code malicieux permet d\u2019injecter des consignes lors du d\u00e9veloppement et du d\u00e9ploiement de mises-\u00e0-jour. Ainsi, lorsque les d\u00e9veloppeurs font appel aux paquets npm compromis, leurs appareils sont imm\u00e9diatement infect\u00e9s et leurs informations sensibles peuvent \u00eatre exfiltr\u00e9es<\/strong>.<\/p>\n Arm\u00e9s de ces informations privil\u00e9gi\u00e9es et des identifiants, les pirates pourraient alors op\u00e9rer de fa\u00e7on plus d\u00e9vastatrice<\/strong>. Ils pourraient, par exemple, d\u00e9velopper des clones<\/strong> ind\u00e9tectables, <\/strong>siphonner les actifs des utilisateurs<\/a>\u00a0ou d\u00e9ployer des patchs malicieux d\u2019applications populaires<\/strong>. \u00c0 titre illustratif, une mise-\u00e0-jour d\u2019une application wallet populaire pourrait se solder par le vol de millions d\u2019utilisateurs.<\/p>\n Best Wallet<\/a> est une application de portefeuille crypto non-d\u00e9positaire<\/strong>. Comme de nombreux autres d\u00e9veloppeurs qui n\u2019ont pas \u00e9t\u00e9 affect\u00e9s par le pr\u00e9c\u00e9dent hack, Best Wallet mise sur la s\u00e9curit\u00e9 dans tous les aspects d<\/strong>\u00e8s son d\u00e9veloppement<\/strong>.<\/p>\n 3 Tips to Keep Your Wallet Secure \ud83d\udd10<\/p>\n 1\ufe0f\u20e3 Always store your private key safely, preferably offline. Stay alert, stay in control. \ud83d\udcaa pic.twitter.com\/JAFbcV4sPe<\/a><\/p>\n \u2014 Best Wallet (@BestWalletHQ) September 10, 2025<\/a><\/p><\/blockquote>\nUn deuxi\u00e8me hack de paquets npm en une semaine ?<\/span><\/h2>\n

Les d\u00e9tenteurs de cryptomonnaies sont-ils menac\u00e9s ?<\/span><\/h2>\n
Se prot\u00e9ger des compromissions avec Best Wallet<\/span><\/h2>\n
\n
2\ufe0f\u20e3 No one from Best Wallet will ever DM you asking for your private keys.
3\ufe0f\u20e3 Enable passcodes, biometrics, and cloud backup for extra protection.<\/p>\n