Ledger : Le CTO alerte sur une faille NPM qui menace la sécurité des cryptos
Une faille majeure dans la supply chain a secoué la communauté open source après le piratage du compte Node Package Manager (NPM) d’un développeur réputé. Des paquets très utilisés ont été compromis, suscitant de vives inquiétudes dans l’ensemble de l’écosystème JavaScript.
En bref
- Des hackers ont pris le contrôle du compte NPM d’un développeur reconnu, déclenchant une attaque de supply chain qui a mis en danger la communauté JavaScript.
- Plus d’un milliard de téléchargements de paquets compromis ont soulevé des craintes d’une exposition massive.
- Charles Guillemet, CTO de Ledger, a recommandé de vérifier chaque transaction et d’utiliser des portefeuilles matériels avec affichage sécurisé pour se protéger.
La faille NPM soulève des inquiétudes pour la sécurité des portefeuilles
Charles Guillemet, directeur technique de Ledger, a détaillé l’ampleur de la menace : un compte NPM majeur a été détourné et les paquets infectés ont déjà été téléchargés plus d’un milliard de fois. Vu cette portée, il a déclaré que l’ensemble de l’écosystème JavaScript pourrait être exposé. Le code malveillant agissait silencieusement, changeant en temps réel les adresses cryptomonnaies pour détourner les fonds vers les attaquants.
Guillemet a appelé à la prudence. Il a précisé que les utilisateurs de portefeuilles matériels restaient protégés à condition de vérifier chaque transaction avant validation. Pour ceux qui utilisent des portefeuilles logiciels, il a conseillé de suspendre les transactions on-chain tant que la situation n’est pas clarifiée. Il a également indiqué qu’il n’était pas encore établi si les attaquants cherchaient à extraire directement les seeds de récupération des portefeuilles logiciels.
Un développeur NPM confirme le piratage
Le mainteneur au centre de la faille, Josh Junon, a confirmé que son compte NPM avait été compromis. Dans un post sur Bluesky, il a expliqué que l’attaque provenait d’une campagne de phishing. Les assaillants avaient créé un faux domaine (« support@npmjs[dot]help ») imitant le site officiel npmjs.com.
Les mainteneurs ont reçu des e-mails menaçants affirmant que leurs comptes seraient verrouillés le 10 septembre 2025. Ces messages contenaient des liens de phishing destinés à voler leurs identifiants. Le faux message indiquait notamment :
Pour maintenir la sécurité et l’intégrité de votre compte, nous vous prions de bien vouloir effectuer cette mise à jour dès que possible. Veuillez noter que les comptes disposant d’identifiants 2FA obsolètes seront temporairement verrouillés à partir du 10 septembre 2025, afin d’empêcher tout accès non autorisé.
Peu après, d’autres développeurs ont signalé avoir été ciblés, confirmant que la campagne dépassait largement le cadre d’un seul compte.
Réaction et analyse technique
L’équipe NPM est intervenue rapidement, supprimant les versions malveillantes mises en ligne. Parmi elles figurait une version du paquet debug, téléchargée chaque semaine plusieurs centaines de millions de fois, environ 357 millions selon les estimations.
Une analyse complémentaire menée par Aikido Security a mis en évidence plusieurs points :
- le code malveillant avait été inséré dans les fichiers index.js des paquets compromis, agissant comme intercepteur dans le navigateur pour cibler les utilisateurs de cryptos ;
- il s’incrustait dans les navigateurs en détournant des fonctions comme fetch, XMLHttpRequest et les APIs de portefeuilles telles que window.ethereum et Solana ;
- une fois actif, il identifiait les adresses de portefeuilles (Ethereum, Bitcoin, Solana, Tron, Litecoin, Bitcoin Cash) et les remplaçait par celles des attaquants, souvent similaires en apparence ;
- il modifiait les détails des transactions avant signature (destinataires, validations, autorisations), tout en conservant une interface normale, ce qui redirigeait les fonds ;
- il restait discret, évitant les changements visibles lorsqu’un portefeuille était détecté, et agissait en arrière-plan.
Un appel à la vigilance
Dans des déclarations à CoinDesk, Guillemet a averti que les applications décentralisées et portefeuilles logiciels intégrant ces paquets compromis pouvaient être vulnérables, exposant les utilisateurs à des pertes de fonds. Il a rappelé que la meilleure protection restait le recours à un portefeuille matériel doté d’un affichage sécurisé et du Clear Signing.
Cette méthode permet de vérifier directement sur l’appareil l’adresse et les détails de chaque transaction, garantissant la correspondance avec l’intention réelle de l’utilisateur.
« Toujours vérifier vos transactions, ne jamais signer à l’aveugle », a-t-il insisté. Il recommande systématiquement l’usage d’un hardware wallet avec affichage sécurisé.
Maximisez votre expérience Cointribune avec notre programme 'Read to Earn' ! Pour chaque article que vous lisez, gagnez des points et accédez à des récompenses exclusives. Inscrivez-vous dès maintenant et commencez à cumuler des avantages.
Ifeoluwa specializes in Web3 writing and marketing, with over 5 years of experience creating insightful and strategic content. Beyond this, he trades crypto and is skilled at conducting technical, fundamental, and on-chain analyses.
Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.