Le CTO de Ledger alerte les utilisateurs sur une faille de la chaîne d'approvisionnement NPM menaçant la sécurité des crypto-monnaies

Une violation à grande échelle de la chaîne d'approvisionnement a ébranlé la communauté open source après que des hackers ont compromis le compte Node Package Manager (NPM) d’un développeur réputé. Des packages largement utilisés ont été affectés, suscitant de vives inquiétudes dans tout l’écosystème JavaScript.

La violation de NPM soulève des inquiétudes sur la sécurité des portefeuilles

Charles Guillemet, directeur technique chez Ledger, a révélé l’ampleur de la menace. Il a signalé qu’un compte NPM majeur avait été détourné et que les packages affectés avaient déjà été téléchargés plus d’un milliard de fois. Compte tenu de cette portée, il a déclaré que l’ensemble de l’écosystème JavaScript pourrait être exposé. Le code malveillant fonctionnait silencieusement, modifiant en temps réel les adresses de cryptomonnaies pour détourner les fonds vers les attaquants.

Guillemet a appelé à la prudence. Il a expliqué que les utilisateurs de portefeuilles matériels restent en sécurité s’ils vérifient soigneusement chaque transaction avant de l’approuver. Pour ceux qui utilisent des portefeuilles logiciels, il a recommandé d’éviter les transactions on-chain jusqu’à ce que la situation soit clarifiée. Il a également noté qu’il n’est pas encore certain que les attaquants tentent directement d’extraire les phrases de récupération des portefeuilles logiciels.

Le développeur confirme la prise de contrôle du compte

Le mainteneur au centre de la violation, Josh Junon, a confirmé que son compte NPM avait été compromis. Dans un post sur Bluesky, il a expliqué que la prise de contrôle résultait d’une campagne de phishing. Les attaquants avaient mis en place un faux domaine, ‘support [at] npmjs [dot]’ help, conçu pour ressembler au site officiel npmjs.com.

Les mainteneurs ont reçu des emails menaçants affirmant que leurs comptes seraient verrouillés le 10 septembre 2025. Ces messages comprenaient des liens redirigeant vers des sites de phishing conçus pour voler les identifiants. Le faux email affirmait :

Pour maintenir la sécurité et l’intégrité de votre compte, nous vous demandons de bien vouloir effectuer cette mise à jour dans les plus brefs délais. Veuillez noter que les comptes avec des identifiants 2FA obsolètes seront temporairement verrouillés à partir du 10 septembre 2025 afin de prévenir tout accès non autorisé.

D’autres développeurs ont rapidement signalé avoir été ciblés de la même manière, confirmant que la campagne de phishing s’étendait au-delà d’un seul mainteneur.

Réponse à la violation NPM et analyse technique

L’équipe NPM a agi rapidement dès que la violation a été détectée, supprimant les versions malveillantes téléchargées par les attaquants. Parmi celles retirées figurait une version du package debug, téléchargé des centaines de millions de fois chaque semaine — estimé à environ 357 millions.

Une analyse plus approfondie a été menée par Aikido Security, et l’enquête a révélé ce qui suit :

• Les attaquants ont ajouté du code malveillant dans les fichiers index.js des packages détournés. Celui-ci agissait comme un intercepteur de navigateur, détournant le trafic et ciblant les utilisateurs de crypto.
• Le malware s’intégrait dans les navigateurs et s’accrochait à des fonctions telles que fetch, XMLHttpRequest, et aux APIs de portefeuilles comme window.ethereum et Solana, lui donnant accès à l’activité web et aux portefeuilles.
• Une fois actif, il scannait les données à la recherche d’adresses de portefeuilles sur Ethereum, Bitcoin, Solana, Tron, Litecoin et Bitcoin Cash. Les adresses détectées étaient remplacées par celles contrôlées par les attaquants, souvent conçues pour leur ressembler.
• Il modifiait les détails des transactions avant la signature, changeant les destinataires, les approbations ou les autorisations alors que l’interface semblait normale, envoyant ainsi les fonds aux attaquants.
• Pour rester discret, il évitait les changements visibles lorsqu’un portefeuille était présent, fonctionnant silencieusement en arrière-plan et manipulant les transactions réelles.

Appel à des précautions renforcées

Dans des commentaires à CoinDesk, Guillemet a averti que les applications décentralisées ou les portefeuilles logiciels incluant les packages compromis pourraient ne pas être sûrs, exposant les utilisateurs de crypto au risque de perdre leurs fonds. Il a souligné que la protection la plus fiable reste un portefeuille matériel doté d’un affichage sécurisé prenant en charge la signature claire (Clear Signing).

Cette approche permet aux utilisateurs de vérifier l’adresse et les détails de chaque transaction directement sur l’écran de l’appareil, garantissant que ce qu’ils approuvent correspond bien à leur intention.

Il a ajouté que la situation rappelle fortement les pratiques essentielles : “vérifiez toujours vos transactions, ne signez jamais à l’aveugle.” Il a également conseillé l’utilisation d’un portefeuille matériel avec affichage sécurisé pour garantir la sécurité.