Des chercheurs en cybersécurité ont découvert une attaque visant les portefeuilles de cryptomonnaies, compromettant des fonds via des packages npm infectés.
Tl;dr
- Des packages npm compromis infectent les systèmes des développeurs, permettant à un malware de cibler les portefeuilles numériques comme Ethereum, XRP et Solana.
- Le malware redirige discrètement les transactions vers des adresses contrôlées par les attaquants, sans que les utilisateurs ne s’en aperçoivent.
- Cette campagne malveillante utilise des techniques d’obfuscation avancées pour échapper à la détection et représente une menace croissante pour les utilisateurs de cryptomonnaies.
Une attaque discrète sur les portefeuilles numériques
Cette intrusion malveillante cible principalement les utilisateurs des portefeuilles Atomic et Exodus. L’attaque commence par l’infection d’un package npm (Node Package Manager) compromis, souvent utilisé par des développeurs sans leur connaissance. Ces packages malveillants sont en apparence légitimes, mais dissimulent un code malveillant destiné à intercepter les transactions cryptographiques. En téléchargeant ces packages infectés, les développeurs créent un accès silencieux au système, permettant au malware d’agir sans éveiller les soupçons des utilisateurs. L’objectif de cette attaque est de rediriger les fonds des utilisateurs vers des adresses contrôlées par les attaquants.
Un code caché et une manipulation des transactions
Une fois installé, le package malveillant scrute le système pour identifier les portefeuilles de cryptomonnaie comme Ethereum, XRP et Solana. Une fois localisé, il modifie le code des transactions afin de remplacer l’adresse légitime du destinataire par une adresse contrôlée par l’attaquant. Ce changement est effectué en utilisant un encodage Base64, ce qui permet de dissimuler l’adresse de l’attaquant aux yeux de l’utilisateur. Les utilisateurs ne voient aucune différence dans l’interface de leur portefeuille ; les transactions semblent normales, mais les fonds sont envoyés vers les adresses malveillantes, rendant l’attaque difficile à détecter sans un examen approfondi sur la blockchain.
Une escalade inquiétante dans les attaques de la chaîne d’approvisionnement
Les chercheurs ont noté que cette campagne marque une escalade inquiétante des attaques ciblant les utilisateurs de cryptomonnaie via des attaques de la chaîne d’approvisionnement des logiciels. En infectant des outils utilisés par les développeurs, les attaquants exploitent une vulnérabilité qui échappe souvent aux détections traditionnelles. L’infection initiale par un package npm compromis est souvent difficile à repérer pour les développeurs, qui croient installer une dépendance légitime. Cette forme d’attaque se distingue par sa capacité à se propager de manière furtive, rendant sa détection encore plus complexe.
Des chercheurs en cybersécurité sur le front de la lutte contre le malware
Les chercheurs de ReversingLabs ont été les premiers à identifier cette campagne après avoir observé des signes d’activités suspectes dans plusieurs packages npm. En analysant les comportements malveillants, ils ont trouvé des indicateurs comme des connexions URL suspectes et des patterns de code associés à des menaces précédemment identifiées. Cette découverte a permis de révéler la sophistication de l’attaque, qui utilise des techniques d’obfuscation avancées pour échapper à la détection. L’infection s’étend en plusieurs étapes, chaque phase permettant de contourner les mécanismes de sécurité des portefeuilles cryptographiques, renforçant ainsi la complexité de l’attaque.
Source link
