Le CTO de Ledger met en garde les détenteurs de portefeuilles après le piratage du compte NPM

• Une vaste attaque a frappé des outils JavaScript utilisés par des millions de personnes sur les plateformes crypto.
• Le CTO de Ledger a conseillé aux utilisateurs de vérifier chaque transaction et d’éviter la signature à l’aveugle.
• Les développeurs ont été invités à sécuriser les packages et à arrêter les mises à jour automatiques jusqu’à ce que les correctifs soient appliqués.

Une attaque massive sur la chaîne d’approvisionnement de l’écosystème JavaScript a ébranlé l’industrie crypto, révélant la fragilité des dépendances au sein de son infrastructure. Le 8 septembre 2025, le Chief Technology Officer de Ledger, Charles Guillemet, a confirmé que des attaquants avaient compromis le compte NPM (Node Package Manager) d’un développeur réputé. Ce compte compromis a permis aux hackers d’injecter un malware “crypto-clipper” dans des packages JavaScript très utilisés. 

Ces bibliothèques infectées, incluant chalk, debug, strip-ansi et color-convert, totalisent plus d’un milliard de téléchargements, illustrant l’ampleur de l’exposition. Selon Guillemet, le code malveillant échange silencieusement les adresses de portefeuilles crypto lors des transactions, envoyant les fonds vers des comptes contrôlés par les attaquants. Cela signifie que des utilisateurs non avertis peuvent effectuer des transactions en pensant qu’elles sont légitimes tout en perdant leurs actifs à leur insu.

Les outils affectés étaient loin d’être obscurs. Des bibliothèques telles que Chalk et Debug soutiennent de nombreuses applications décentralisées et plateformes crypto, et sont donc intimement impliquées dans le fonctionnement quotidien de l’écosystème. Une faille dans ces bibliothèques montre qu’une seule compromission peut rapidement affecter des millions de portefeuilles et d’applications.

Avertissements urgents du CTO de Ledger

Guillemet n’a pas nommé le développeur dont le compte a été compromis. Cependant, il a clairement indiqué que la menace est étendue. “Il s’agit d’une attaque de grande ampleur sur la chaîne d’approvisionnement. L’ensemble de l’écosystème JavaScript pourrait être affecté”, a-t-il écrit dans son avertissement officiel.

Il a souligné l’importance d’utiliser des portefeuilles matériels avec des écrans sécurisés qui prennent en charge la signature claire (Clear Signing). “La seule façon sûre de lutter contre cela est d’utiliser un portefeuille matériel avec un écran sécurisé qui prend en charge la signature claire”, a-t-il déclaré. “Cela permettra à l’utilisateur de voir exactement à quelles adresses les fonds sont envoyés et de s’assurer qu’elles correspondent aux adresses prévues.”

Il a poursuivi : “Les portefeuilles matériels sans écran sécurisé et tout portefeuille qui ne prend pas en charge la signature claire sont à haut risque, car il est impossible de vérifier avec précision que les détails de la transaction sont corrects.”

Enfin, il a rappelé à tous : “C’est l’occasion de rappeler à chacun : vérifiez toujours vos transactions, ne signez jamais à l’aveugle, utilisez un portefeuille matériel avec un écran sécurisé, et signez clairement chaque opération.”

Réaction des développeurs et implications plus larges

Suite à cette révélation, les développeurs ont été invités à épingler les versions sûres des dépendances, à sécuriser les fichiers de verrouillage et à suspendre les mises à jour automatiques des packages jusqu’à nouvel ordre. Ces précautions visent à contenir les dégâts pendant que des audits et des nettoyages sont menés dans tout l’écosystème. Des figures majeures de la communauté des développeurs crypto ont également conseillé aux utilisateurs d’éviter d’interagir avec les sites crypto tant que les vulnérabilités ne sont pas corrigées.

À lire aussi : Les développeurs de Ripple défendent XRP Ledger face à l’évaluation de Kaiko

Ce cas a mis en avant le fait que même des fournisseurs de portefeuilles critiques comme Ledger dépendent de couches logicielles hors de leur contrôle direct. Si ces couches sont compromises, l’impact peut être dévastateur. Des millions d’utilisateurs et des valeurs numériques atteignant des milliards peuvent être exposés en quelques heures.

Mise à jour sur l’attaque NPM

Selon la dernière mise à jour de Guillemet, l’attaque a échoué et a fait presque aucune victime. Elle a commencé par un email de phishing provenant d’un faux domaine de support npm qui a permis de voler des identifiants, donnant aux attaquants l’accès pour publier des mises à jour de packages malveillants. Le code injecté ciblait l’activité crypto sur le web, s’intégrant à Ethereum, Solana et d’autres blockchains pour détourner les transactions en remplaçant les adresses de portefeuilles directement dans les réponses réseau. Cependant, les erreurs des attaquants ont provoqué des plantages dans les pipelines CI/CD, ce qui a permis une détection précoce et a limité l’impact.

Guillemet a souligné que si vos fonds sont dans un portefeuille logiciel ou sur une plateforme d’échange, vous n’êtes qu’à une exécution de code de tout perdre. Les compromissions de la chaîne d’approvisionnement restent un vecteur puissant de diffusion de malware, et les attaques ciblées sont en hausse. Il a également rappelé que les portefeuilles matériels sont conçus pour résister à ces menaces. Des fonctionnalités comme la signature claire permettent de confirmer exactement ce qui se passe, et les vérifications de transaction signalent toute activité suspecte avant qu’il ne soit trop tard.

L’article Ledger CTO Warns Wallet Holders After NPM Account Hack est apparu en premier sur Cryptotale.