Malwares cachés dans des smart contracts Ethereum : La nouvelle arme des pirates
Les attaques sur la chaîne d’approvisionnement logicielle évoluent de manière inquiétante alors que les cybercriminels utilisent des contrats intelligents Ethereum pour dissimuler du malware dans des bibliothèques open source. Des recherches présentées par la société de sécurité ReversingLabs montrent que les pirates insèrent désormais des instructions de commande-et-contrôle dans les contrats blockchain, rendant leur détection et leur neutralisation plus difficiles pour les défenseurs. Cette approche illustre la complexité croissante de la distribution de malwares et le rôle de la blockchain en tant qu’outil de cybercriminalité
En bref
- Les attaquants utilisent désormais des contrats intelligents Ethereum pour dissimuler des logiciels malveillants dans des bibliothèques open source.
- Des packages npm malveillants récupèrent les charges via la blockchain, contournant les défenses traditionnelles.
- De faux dépôts GitHub amplifient les attaques en faisant tourner les dépendances afin de propager largement les infections.
Comment l’attaque a fonctionné
La campagne visait principalement Node Package Manager (npm), une plateforme qui héberge des millions de packages JavaScript. Deux packages suspects, “colortoolsv2” et “mimelib2”, sont apparus en juillet et ont servi de vecteurs au code malveillant.
Au lieu d’intégrer directement des liens dans le package, le malware exécutait des scripts offusqués qui interrogeaient des contrats Ethereum pour récupérer la localisation de la charge utile. Par conséquent, cette méthode compliquait les systèmes de détection traditionnels qui signalent habituellement des domaines malveillants codés en dur.
Une fois que le script a accédé au contrat intelligent, il dirigeait le package infecté pour télécharger un composant secondaire de malware. Ce système permettait aux attaquants de conserver une flexibilité en changeant l’emplacement des charges utiles sur la blockchain, sans altérer le package npm lui-même.
De plus, la campagne utilisait des dépôts GitHub à thème crypto remplis de fausses étoiles et de commits générés pour paraître légitime, attirant ainsi des développeurs sans méfiance à intégrer les packages.
Campagne plus large sur les plateformes open source
Les chercheurs de ReversingLabs ont découvert que les packages npm malveillants faisaient partie d’une campagne plus large qui s’étendait aux projets GitHub. De faux dépôts comme “solana-trading-bot-v2” tentaient d’établir leur crédibilité par des commits automatisés et une activité communautaire mise en scène. Derrière cette façade, les attaquants faisaient silencieusement tourner des dépendances malveillantes sous différents noms, propageant l’infection à travers plusieurs projets.
De plus, cette attaque faisait suite à des incidents précédents signalés par des entreprises de sécurité où npm et GitHub ont été exploités pour diffuser des bots de trading frauduleux et des utilitaires crypto. Ainsi, la dernière campagne marque une évolution préoccupante, montrant que les acteurs malveillants n’abusent pas seulement de la confiance open source, mais intègrent également la technologie blockchain dans leurs chaînes d’attaque.
Maximisez votre expérience Cointribune avec notre programme 'Read to Earn' ! Pour chaque article que vous lisez, gagnez des points et accédez à des récompenses exclusives. Inscrivez-vous dès maintenant et commencez à cumuler des avantages.
Peter is a skilled finance and crypto journalist who simplifies complex topics through clear writing, thorough research, and sharp industry insight, delivering reader-friendly content for today’s fast-moving digital world.
Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.