Partager cet article
Le CTO de Ledger met en garde contre une attaque de la chaîne d'approvisionnement NPM touchant plus d'un milliard de téléchargements
Selon Guillemet, le code malveillant — déjà intégré dans des paquets cumulant plus d’un milliard de téléchargements — est conçu pour remplacer discrètement les adresses de portefeuilles crypto lors des transactions. Cela signifie que des utilisateurs non avertis pourraient envoyer des fonds directement à l’attaquant sans s’en rendre compte.
8 sept. 2025, 7:29 p.m. Traduit par IA
Faites de nous votre source préférée sur Google
Ce qu'il:
- Charles Guillemet, directeur technique chez le fabricant de portefeuilles matériels Ledger, a averti sur X lundi qu'une attaque à grande échelle contre la chaîne d'approvisionnement est en cours suite à la compromission du compte Node Package Manager (NPM) d'un développeur réputé.
- Selon Guillemet, le code malveillant — déjà intégré dans des packages totalisant plus de 1 milliard de téléchargements — est conçu pour remplacer silencieusement les adresses de portefeuilles crypto lors des transactions. Cela signifie que des utilisateurs non méfiants pourraient envoyer des fonds directement à l’attaquant sans s’en rendre compte.
Charles Guillemet, directeur technique chez le fabricant de portefeuilles matériels Ledger, a averti sur X lundi qu'une attaque à grande échelle contre la chaîne d'approvisionnement est en cours suite à la compromission du compte Node Package Manager (NPM) d'un développeur réputé.
Selon Guillemet, le code malveillant — déjà intégré dans des packages totalisant plus de 1 milliard de téléchargements — est conçu pour remplacer silencieusement les adresses de portefeuilles crypto lors des transactions. Cela signifie que des utilisateurs non méfiants pourraient envoyer des fonds directement à l’attaquant sans s’en rendre compte.
La Suite Ci-Dessous
Ne manquez pas une autre histoire.Abonnez vous à la newsletter The Protocol aujourd. Voir toutes les newsletters
Guillemet n’a pas nommé le développeur dont il a déclaré que le compte avait été compromis.
L'incident souligne à quel point les logiciels open-source sont profondément interconnectés et pourquoi les failles de sécurité dans les outils de développement peuvent se répercuter presque instantanément sur l'économie cryptographique.
🚨 There’s a large-scale supply chain attack in progress: the NPM account of a reputable developer has been compromised. The affected packages have already been downloaded over 1 billion times, meaning the entire JavaScript ecosystem may be at risk.
— Charles Guillemet (@P3b7_) September 8, 2025
The malicious payload works…
« NPM est un outil couramment utilisé dans le développement logiciel avec JavaScript, ce qui facilite l’intégration des packages pour les développeurs », a déclaré Guillemet dans un message à CoinDesk. Lorsqu’un attaquant compromet le compte d’un développeur, il peut insérer du code malveillant dans des packages largement utilisés.
« Le code malveillant tente de vider les utilisateurs en échangeant les adresses utilisées dans les transactions ou les activités générales sur la blockchain par l'adresse du pirate », a ajouté Guillemet.
Guillemet a souligné que si une application décentralisée ou un portefeuille logiciel sur n'importe quelle blockchain inclut ces packages JavaScript, alors ils pourraient être compromis, et les utilisateurs de crypto-monnaies pourraient donc perdre leurs fonds.
« La seule méthode sûre pour lutter contre cela est d’utiliser un portefeuille matériel doté d’un écran sécurisé qui prend en charge la signature claire », a déclaré Guillemet à CoinDesk. « Cela permettra à l’utilisateur de voir exactement à quelles adresses les fonds sont envoyés et de s’assurer qu’elles correspondent bien aux adresses prévues. »
"Les portefeuilles matériels dépourvus d’écrans sécurisés et tout portefeuille ne prenant pas en charge la signature Clear présentent un risque élevé, car il est impossible de vérifier avec précision que les détails de la transaction sont corrects," a-t-il ajouté.
"C’est l’occasion de rappeler à tous : vérifiez toujours vos transactions, ne signez jamais à l’aveugle, utilisez un portefeuille matériel avec un écran sécurisé, et Clear Sign tout," a déclaré Guillemet.
En savoir plus : Le directeur technique de Ledger répond aux critiques concernant le nouveau service de récupération de portefeuille
Avertissement concernant l'IA : certaines parties de cet article ont été générées à l'aide d'outils d'IA et révisées par notre équipe éditoriale afin d'en garantir l'exactitude et la conformité à nos normes. Pour plus d'informations, voir Politique complète de CoinDesk en matière d'IA.
Plus pour vous
Citadel Securities soutient LayerZero alors qu'elle dévoile la blockchain ‘Zero’ pour les marchés mondiaux
Citadel a réalisé un investissement stratégique dans le token ZRO de LayerZero alors que la société d'interopérabilité déploie sa blockchain haute performance.
Ce qu'il:
- Citadel Securities a investi dans le token ZRO de LayerZero et collabore sur la structure du marché ainsi que sur les cas d'utilisation post-négociation.
- LayerZero a dévoilé "Zero", une blockchain hétérogène visant des millions de transactions par seconde et des frais quasi nuls.
- DTCC, ICE, Google Cloud et ARK Invest collaborent ou investissent alors que les institutions explorent les marchés tokenisés.
À la une
