2025-04-13 16:00:00
Des chercheurs en cybersécurité ont récemment révélé les détails d’une campagne malveillante visant les utilisateurs d’Ethereum, d’XRP et de Solana.
Des cibles spécifiques : les utilisateurs de portefeuilles
Cette campagne s’en prend principalement aux utilisateurs des portefeuilles Atomic et Exodus. Les attaques se déroulent via des paquets compromis du gestionnaire de paquets Node (NPM), ce qui permet aux cybercriminels de rediriger les transactions vers des adresses contrôlées par les attaquants, et ce, sans que le propriétaire du portefeuille ne s’en rende compte.
Le point de départ : des paquets légitimes mais malveillants
Le processus d’attaque commence lorsque des développeurs intègrent, souvent à leur insu, des paquets NPM contaminés dans leurs projets. Parmi ces paquets, les chercheurs ont identifié le « pdf-to-office », qui semble inoffensif mais contient en réalité du code maliciel dissimulé. Une fois ce paquet installé, il scrute le système à la recherche de portefeuilles de cryptomonnaies et injecte un code malveillant capable d’intercepter les transactions.
Une escalade des attaques par chaîne d’approvisionnement
Les experts en cybersécurité notent que cette campagne représente une intensification des attaques ciblant les utilisateurs de cryptomonnaies via des attaques par chaîne d’approvisionnement logicielle. Les malwares identifiés peuvent rediriger des transactions non seulement pour Ethereum, mais également pour le USDT basé sur Tron, l’XRP, et le Solana. ReversingLabs a su identifier cette campagne grâce à son analyse des paquets NPM suspects, détectant des comportements malveillants fréquents comme des connexions à des URL douteuses et des motifs de code en phase avec des menaces connues.
Un processus d’infection complexe
Le mécanisme d’infection débute lorsque le paquet malveillant exécute son code malveillant, visant spécifiquement les logiciels de portefeuille présents sur le système. Cette opération consiste à rechercher des fichiers d’application dans des chemins prédéfinis. Une fois ces fichiers localisés, le malware extrait l’archive de l’application à l’aide d’un code conçu pour créer des répertoires temporaires, extraire les fichiers d’application, injecter le code malveillant, puis recompresser le tout afin de masquer la présence d’une anomalie.
La manipulation des transactions
Le malware modifie ensuite le code de gestion des transactions pour substituer les adresses de portefeuilles légitimes par celles contrôlées par des attaquants, en utilisant un encodage en base64. Par exemple, lorsqu’un utilisateur souhaite envoyer des ETH, le code remplace l’adresse du destinataire par celle d’un cybercriminel, décodée à partir d’une chaîne de caractères. Ainsi, les transactions semblent normales dans l’interface du portefeuille, rendant difficile la détection d’une compromission.
Conséquences invisibles pour les victimes
Les utilisateurs peuvent affronter des conséquences désastreuses car les transactions semblent s’effectuer comme prévu dans leur portefeuille, alors que les fonds sont détournés vers des adresses non autorisées. Ce n’est qu’après avoir vérifié la transaction sur la blockchain qu’ils se rendent compte que leurs fonds ont été envoyés à une adresse inattendue, sans aucun signe visuel d’une compromission préalable.