Partager cet article
Le CTO de Ledger met en garde contre une attaque de la chaîne d'approvisionnement NPM touchant plus d'un milliard de téléchargements
Selon Guillemet, le code malveillant — déjà intégré dans des paquets cumulant plus d’un milliard de téléchargements — est conçu pour remplacer discrètement les adresses de portefeuilles crypto lors des transactions. Cela signifie que des utilisateurs non avertis pourraient envoyer des fonds directement à l’attaquant sans s’en rendre compte.
8 sept. 2025, 7:29 p.m. Traduit par IA
Ce qu'il:
- Charles Guillemet, directeur technique chez le fabricant de portefeuilles matériels Ledger, a averti sur X lundi qu'une attaque à grande échelle contre la chaîne d'approvisionnement est en cours suite à la compromission du compte Node Package Manager (NPM) d'un développeur réputé.
- Selon Guillemet, le code malveillant — déjà intégré dans des packages totalisant plus de 1 milliard de téléchargements — est conçu pour remplacer silencieusement les adresses de portefeuilles crypto lors des transactions. Cela signifie que des utilisateurs non méfiants pourraient envoyer des fonds directement à l’attaquant sans s’en rendre compte.
Charles Guillemet, directeur technique chez le fabricant de portefeuilles matériels Ledger, a averti sur X lundi qu'une attaque à grande échelle contre la chaîne d'approvisionnement est en cours suite à la compromission du compte Node Package Manager (NPM) d'un développeur réputé.
Selon Guillemet, le code malveillant — déjà intégré dans des packages totalisant plus de 1 milliard de téléchargements — est conçu pour remplacer silencieusement les adresses de portefeuilles crypto lors des transactions. Cela signifie que des utilisateurs non méfiants pourraient envoyer des fonds directement à l’attaquant sans s’en rendre compte.
La Suite Ci-Dessous
Ne manquez pas une autre histoire.Abonnez vous à la newsletter The Protocol aujourd. Voir toutes les newsletters
Guillemet n’a pas nommé le développeur dont il a déclaré que le compte avait été compromis.
L'incident souligne à quel point les logiciels open-source sont profondément interconnectés et pourquoi les failles de sécurité dans les outils de développement peuvent se répercuter presque instantanément sur l'économie cryptographique.
Loading...
« NPM est un outil couramment utilisé dans le développement logiciel avec JavaScript, ce qui facilite l’intégration des packages pour les développeurs », a déclaré Guillemet dans un message à CoinDesk. Lorsqu’un attaquant compromet le compte d’un développeur, il peut insérer du code malveillant dans des packages largement utilisés.
« Le code malveillant tente de vider les utilisateurs en échangeant les adresses utilisées dans les transactions ou les activités générales sur la blockchain par l'adresse du pirate », a ajouté Guillemet.
Guillemet a souligné que si une application décentralisée ou un portefeuille logiciel sur n'importe quelle blockchain inclut ces packages JavaScript, alors ils pourraient être compromis, et les utilisateurs de crypto-monnaies pourraient donc perdre leurs fonds.
« La seule méthode sûre pour lutter contre cela est d’utiliser un portefeuille matériel doté d’un écran sécurisé qui prend en charge la signature claire », a déclaré Guillemet à CoinDesk. « Cela permettra à l’utilisateur de voir exactement à quelles adresses les fonds sont envoyés et de s’assurer qu’elles correspondent bien aux adresses prévues. »
"Les portefeuilles matériels dépourvus d’écrans sécurisés et tout portefeuille ne prenant pas en charge la signature Clear présentent un risque élevé, car il est impossible de vérifier avec précision que les détails de la transaction sont corrects," a-t-il ajouté.
"C’est l’occasion de rappeler à tous : vérifiez toujours vos transactions, ne signez jamais à l’aveugle, utilisez un portefeuille matériel avec un écran sécurisé, et Clear Sign tout," a déclaré Guillemet.
En savoir plus : Le directeur technique de Ledger répond aux critiques concernant le nouveau service de récupération de portefeuille
Avertissement concernant l'IA : certaines parties de cet article ont été générées à l'aide d'outils d'IA et révisées par notre équipe éditoriale afin d'en garantir l'exactitude et la conformité à nos normes. Pour plus d'informations, voir Politique complète de CoinDesk en matière d'IA.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Drift de Solana lance la version 3, avec des transactions 10 fois plus rapides
Avec la version 3, l'équipe indique qu'environ 85 % des ordres au marché seront exécutés en moins d'une demi-seconde, et que la liquidité s'approfondira suffisamment pour réduire le glissement sur les transactions importantes à environ 0,02 %.
What to know:
- Drift, l'une des plus grandes plateformes de trading de contrats perpétuels sur Solana, a lancé Drift v3, une mise à jour majeure visant à rendre le trading on-chain aussi rapide et fluide que celui d'une plateforme centralisée.
- La nouvelle version offrira une exécution des transactions 10 fois plus rapide grâce à une refonte complète du backend, marquant ainsi le plus grand saut de performance réalisé par le projet à ce jour.
À la une
