Partager cet article
Les pirates crypto utilisent désormais les contrats intelligents Ethereum pour dissimuler des charges utiles malveillantes
Un code d'apparence simple a exploité la blockchain d'Ethereum pour récupérer des URL cachées qui ont dirigé les systèmes compromis vers le téléchargement de logiciels malveillants de seconde phase.
Ce qu'il:
- Des chercheurs ont découvert des packages NPM malveillants utilisant des contrats intelligents Ethereum pour dissimuler du code nuisible.
- Les packages ont déguisé leur activité en trafic blockchain légitime, rendant la détection difficile.
- Les développeurs sont avertis que même les commits populaires peuvent être falsifiés, ce qui pose des risques pour la chaîne d'approvisionnement.
Ethereum est devenu le nouveau front des attaques sur la chaîne d'approvisionnement logicielle.
Les chercheurs de ReversingLabs plus tôt cette semaine a révélé deux packages NPM malveillants qui utilisaient des contrats intelligents Ethereum pour dissimuler du code nuisible, permettant ainsi au logiciel malveillant de contourner les contrôles de sécurité traditionnels.
La Suite Ci-Dessous
Ne manquez pas une autre histoire.Abonnez vous à la newsletter Crypto Daybook Americas aujourd. Voir toutes les newsletters
NPM est un gestionnaire de paquets pour l'environnement d'exécution Node.js et est considéré comme le plus grand registre de logiciels au monde, où les développeurs peuvent accéder à du code et le partager, contribuant ainsi à des millions de programmes logiciels.
Les packages, « colortoolsv2 » et « mimelib2 », ont été téléchargés sur le dépôt largement utilisé de Node Package Manager en juillet. Ils semblaient être de simples utilitaires à première vue, mais en réalité, ils exploitaient la blockchain Ethereum pour récupérer des URL cachées qui orientaient les systèmes compromis vers le téléchargement de logiciels malveillants de deuxième étape.
En intégrant ces commandes au sein d'un contrat intelligent, les attaquants ont déguisé leur activité en un trafic blockchain légitime, rendant ainsi la détection plus difficile.
« C’est quelque chose que nous n’avions pas observé auparavant, » a déclaré Lucija Valentić, chercheuse chez ReversingLabs, dans leur rapport. « Cela met en lumière la rapide évolution des stratégies d’évasion de détection par des acteurs malveillants qui ciblent les dépôts open source et les développeurs. »
La technique s’appuie sur un ancien manuel. Les attaques passées ont utilisé des services de confiance tels que GitHub Gists, Google Drive ou OneDrive pour héberger des liens malveillants. En exploitant plutôt les contrats intelligents Ethereum, les attaquants y ont ajouté une touche cryptographique à une tactique de chaîne d’approvisionnement déjà dangereuse.
L'incident fait partie d'une campagne plus large. ReversingLabs a découvert des packages liés à de faux dépôts GitHub se faisant passer pour des bots de trading de cryptomonnaies. Ces dépôts étaient gonflés avec des commits fabriqués, de faux comptes utilisateurs, et un nombre de stars artificiellement élevé afin de paraître légitimes.
Les développeurs qui ont récupéré le code ont pris le risque d’importer des logiciels malveillants sans en être conscients.
Les risques liés à la chaîne d'approvisionnement dans les outils cryptographiques open-source ne sont pas nouveaux. L'année dernière, des chercheurs ont signalé plus de 20 campagnes malveillantes ciblant les développeurs via des dépôts tels que npm et PyPI.
Beaucoup visaient à voler les identifiants de portefeuille ou à installer des mineurs de cryptomonnaies. Mais l'utilisation des contrats intelligents Ethereum comme mécanisme de livraison montre que les adversaires s'adaptent rapidement pour se fondre dans les écosystèmes blockchain.
Une leçon pour les développeurs est que les commits populaires ou les mainteneurs actifs peuvent être simulés, et que même des packages apparemment anodins peuvent contenir des charges cachées.
Sizin için daha fazlası
Bilinmesi gerekenler:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Sizin için daha fazlası
La correction profonde du Bitcoin prépare le terrain pour un rebond en décembre, selon K33 Research
K33 Research indique que la peur du marché l'emporte sur les fondamentaux alors que le bitcoin approche des niveaux clés. Décembre pourrait offrir un point d'entrée pour les investisseurs audacieux.
Bilinmesi gerekenler:
- K33 Research indique que la forte correction du bitcoin montre des signes de stabilisation, décembre pouvant potentiellement marquer un tournant.
- La société a soutenu que le marché réagit de manière excessive aux risques à long terme tout en ignorant les signaux de vigueur à court terme, tels qu'un faible effet de levier et des niveaux de soutien solides.
- Avec probablement des changements de politique à venir et une position prudente sur les contrats à terme, K33 perçoit davantage de potentiel haussier que de risque de nouvel effondrement majeur.
À la une
