Une attaque de chaîne d’approvisionnement met en danger des utilisateurs de crypto-monnaies
Charles Guillemet, directeur technologique de Ledger, fabricant de portefeuilles matériels, a averti sur X lundi qu’une attaque de chaîne d’approvisionnement de grande ampleur est en cours après la compromission du compte d’un développeur réputé sur le Node Package Manager (NPM). Guillemet a précisé que le code malveillant, qui a déjà été intégré dans des paquets totalisant plus d’un milliard de téléchargements, a été conçu pour échanger silencieusement les adresses de portefeuilles de cryptomonnaies lors des transactions. Cela signifie que des utilisateurs non avertis pourraient envoyer des fonds directement à l’attaquant sans s’en rendre compte, rapporte TopTribune.
Guillemet n’a pas nommé le développeur dont le compte a été compromis. Cet incident met en lumière l’interconnexion profonde des logiciels open-source et les conséquences rapides que peuvent avoir les failles de sécurité dans les outils de développement sur l’économie cryptographique.
🚨 There’s a large-scale supply chain attack in progress: the NPM account of a reputable developer has been compromised. The affected packages have already been downloaded over 1 billion times, meaning the entire JavaScript ecosystem may be at risk.
The malicious payload works…
— Charles Guillemet (@P3b7_) September 8, 2025
« NPM est un outil couramment utilisé dans le développement de logiciels utilisant JavaScript, ce qui facilite l’intégration de paquets pour les développeurs », a déclaré Guillemet. Lorsqu’un attaquant compromet un compte de développeur, il peut insérer un code malveillant dans des paquets largement utilisés.
Selon Guillemet, le code malveillant tente de soutirer des fonds aux utilisateurs en échangeant les adresses utilisées dans les transactions ou les activités on-chain avec l’adresse de l’attaquant. Il a également souligné que si toute application décentralisée ou portefeuille logiciel sur n’importe quelle blockchain inclut ces paquets JavaScript, ils pourraient être compromis, ce qui entraînerait des pertes financières pour les utilisateurs de cryptomonnaies.
« La seule solution pour contrer cela est d’utiliser un portefeuille matériel avec un écran sécurisé qui prend en charge la signature claire », a-t-il ajouté. “Cela permettra à l’utilisateur de voir exactement quelles adresses reçoivent les fonds et de s’assurer qu’elles correspondent aux adresses prévues.”
Guillemet a insisté sur le fait que les portefeuilles matériels sans écrans sécurisés et tout portefeuille qui ne prend pas en charge la signature claire sont à haut risque, car il est impossible de vérifier efficacement que les détails de la transaction sont corrects.
“C’est l’occasion de rappeler à tous : vérifiez toujours vos transactions, ne signez jamais à l’aveugle, utilisez un portefeuille matériel avec un écran sécurisé et signez tout de manière claire”, a-t-il conseillé.
