Au cours de la nuit, les "attaques de la chaîne d'approvisionnement" ont dominé les gros titres : Que s'est-il passé ? Comment pouvons-nous atténuer les risques ?
Le compte NPM d'un développeur renommé a été piraté, libérant des versions malveillantes de paquets comme chalk et color-convert, téléchargées des milliards de fois—déclenchant un risque massif pour la chaîne d'approvisionnement.
Des attaquants ont intégré un hijacker de presse-papiers qui remplace les adresses de portefeuille crypto en utilisant des visuels presque identiques ( via la distance de Levenshtein ) ou remplace activement les adresses détectées par le navigateur pour intercepter les transactions.
Bien que les gains du pirate s'élèvent jusqu'à présent à environ ~496 $, la plupart des paquets affectés sont corrigés ou supprimés ; les principaux portefeuilles (, par exemple MetaMask, Phantom), ont confirmé qu'ils n'ont pas été affectés, mais la prudence reste de mise.
Une attaque majeure de la chaîne d'approvisionnement NPM a compromis des paquets JavaScript largement utilisés—téléchargés plus d'un milliard de fois—injectant des voleurs d'adresses crypto qui volent discrètement des fonds. Voici ce qui s'est passé et comment vous protéger.
Le 9 septembre, heure de Pékin, Charles Guillemet, directeur technique de Ledger, a publié un avertissement sur X : « Une attaque de chaîne d'approvisionnement à grande échelle est actuellement en cours, et le compte NPM d'un développeur bien connu a été compromis. Les paquets affectés ont été téléchargés plus de 1 milliard de fois, ce qui signifie que tout l'écosystème JavaScript pourrait être en danger. »
Guillemet a ajouté : « Le code malveillant fonctionne en manipulant silencieusement les adresses de cryptomonnaie en arrière-plan pour voler des fonds. Si vous utilisez un portefeuille matériel, veuillez vérifier attentivement chaque transaction signée et vous serez en sécurité. Si vous n'utilisez pas de portefeuille matériel, veuillez éviter de faire des transactions on-chain pour le moment. Il n'est pas clair si les attaquants volent directement les phrases mnémotechniques des portefeuilles logiciels. »
QUE S'EST-IL PASSÉ ?
Selon le rapport de sécurité cité par Guillemet, la cause directe de cet incident était que le compte NPM du développeur bien connu @qix a été piraté, entraînant la publication de versions malveillantes de dizaines de paquets logiciels, y compris chalk, strip-ansi et color-convert. Le code malveillant a pu se propager au terminal lorsque des développeurs ou des utilisateurs ont installé automatiquement des dépendances.
Odaily Note : Données hebdomadaires de téléchargement des packages logiciels compromis.
En résumé, il s'agit d'un cas classique d'attaque de la chaîne d'approvisionnement—une attaque dans laquelle un attaquant insère du code malveillant ( tel que des packages NPM ) dans des outils de développement ou des systèmes de dépendances. NPM, abréviation de Node Package Manager, est l'outil de gestion de packages le plus couramment utilisé dans l'écosystème JavaScript/Node.js. Ses principales fonctions incluent la gestion des dépendances, l'installation et la mise à jour des packages, ainsi que le partage de code.
L'écosystème de NPM est extrêmement vaste, avec des millions de paquets logiciels actuellement disponibles. Presque tous les projets Web3, portefeuilles crypto et outils front-end dépendent de NPM. Précisément parce que NPM repose sur un grand nombre de dépendances et de liens complexes, c'est un point d'entrée à haut risque pour les attaques de la chaîne d'approvisionnement. Tant qu'un attaquant implante du code malveillant dans un paquet logiciel couramment utilisé, cela peut affecter des milliers d'applications et d'utilisateurs.
Comme indiqué dans le diagramme de flux de diffusion de code malveillant ci-dessus :
Un certain projet (boîte bleue) dépendra directement de certaines bibliothèques open source communes, telles qu'express.
Ces dépendances directes (boîtes vertes) dépendent à leur tour d'autres dépendances indirectes (boîtes jaunes, telles que lodash).
Si une dépendance indirecte est secrètement implantée avec du code malveillant (boîte rouge) par un attaquant, elle entrera dans le projet le long de la chaîne de dépendance.
QUE SIGNIFIE CELA POUR LES CRYPTO-MONNAIES ?
La pertinence directe de cet incident de sécurité pour l'industrie des cryptomonnaies réside dans le fait que le code malveillant implanté par les pirates dans le logiciel contaminé mentionné ci-dessus est un sophistiqué "hijacker de presse-papiers de cryptomonnaie" qui vole des actifs cryptographiques en remplaçant les adresses de portefeuille et en détournant les transactions.
Le fondateur de Stress Capital, GE (@GuarEmperor), a expliqué cela plus en détail sur X. Le "pirate de presse-papiers" injecté par le hacker utilise deux modes d'attaque : le mode passif utilise l'"algorithme de distance de Levenshtein" pour remplacer l'adresse du portefeuille, ce qui est extrêmement difficile à détecter en raison de sa similarité visuelle ; le mode actif détecte le portefeuille crypté dans le navigateur et a modifié l'adresse cible avant que l'utilisateur ne signe la transaction.
Puisque cette attaque cible les bibliothèques de base des projets JavaScript, même les projets qui s'appuient indirectement sur ces bibliothèques peuvent être affectés.
COMBIEN DE PROFIT LES HACKERS FONT-ILS ?
Le code malveillant implanté par le hacker a également révélé son adresse d'attaque. L'adresse principale d'attaque du hacker sur Ethereum est 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, et les fonds proviennent principalement des trois adresses suivantes :
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham a créé une page de suivi pour cette attaque, où les utilisateurs peuvent vérifier le bénéfice du hacker et le statut de transfert en temps réel.
Au moment de cette publication, les hackers n'ont profité que de 496 $ de l'attaque, mais étant donné que l'étendue de la propagation du code malveillant n'a pas encore été déterminée, il est prévu que ce chiffre puisse continuer à augmenter. Le développeur a maintenant été informé et travaille activement avec l'équipe de sécurité NPM pour résoudre le problème. Le code malveillant a maintenant été supprimé de la plupart des paquets affectés, donc la situation est sous contrôle.
COMMENT ÉVITER LES RISQUES ?
Le fondateur de Defillama, @0xngmi Yu X, a déclaré que bien que cet incident semble dangereux, l'impact réel n'est pas aussi exagéré – car cet incident n'affectera que les sites web qui ont publié des mises à jour depuis la sortie du package NPM piraté, et d'autres projets continueront à utiliser l'ancienne version ; et la plupart des projets corrigeront leurs dépendances, donc même s'ils publient des mises à jour, ils continueront à utiliser l'ancien code de sécurité.
Cependant, comme les utilisateurs ne peuvent pas vraiment savoir si un projet a des dépendances fixes ou s'il a des dépendances téléchargées dynamiquement, la partie du projet est actuellement tenue de procéder à une auto-inspection et de le divulguer en premier.
Au moment de cette publication, plusieurs projets de portefeuilles ou d'applications, y compris MetaMask, Phantom, Aave, Fluid et Jupiter, ont déclaré qu'ils n'étaient pas affectés par cet incident. Par conséquent, en théorie, les utilisateurs peuvent utiliser en toute sécurité des portefeuilles confirmés sécurisés pour accéder à des protocoles confirmés sécurisés. Cependant, pour d'autres portefeuilles ou projets qui n'ont pas encore effectué de divulgations de sécurité, il peut être plus sûr d'éviter temporairement de les utiliser.
〈Au cours de la nuit, les "attaques de la chaîne d'approvisionnement" ont dominé les gros titres : Que s'est-il passé ? Comment pouvons-nous atténuer les risques ?〉Cet article a été publié pour la première fois dans 《CoinRank》.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Au cours de la nuit, les "attaques de la chaîne d'approvisionnement" ont dominé les gros titres : Que s'est-il passé ? Comment pouvons-nous atténuer les risques ?
Le compte NPM d'un développeur renommé a été piraté, libérant des versions malveillantes de paquets comme chalk et color-convert, téléchargées des milliards de fois—déclenchant un risque massif pour la chaîne d'approvisionnement.
Des attaquants ont intégré un hijacker de presse-papiers qui remplace les adresses de portefeuille crypto en utilisant des visuels presque identiques ( via la distance de Levenshtein ) ou remplace activement les adresses détectées par le navigateur pour intercepter les transactions.
Bien que les gains du pirate s'élèvent jusqu'à présent à environ ~496 $, la plupart des paquets affectés sont corrigés ou supprimés ; les principaux portefeuilles (, par exemple MetaMask, Phantom), ont confirmé qu'ils n'ont pas été affectés, mais la prudence reste de mise.
Une attaque majeure de la chaîne d'approvisionnement NPM a compromis des paquets JavaScript largement utilisés—téléchargés plus d'un milliard de fois—injectant des voleurs d'adresses crypto qui volent discrètement des fonds. Voici ce qui s'est passé et comment vous protéger.
Le 9 septembre, heure de Pékin, Charles Guillemet, directeur technique de Ledger, a publié un avertissement sur X : « Une attaque de chaîne d'approvisionnement à grande échelle est actuellement en cours, et le compte NPM d'un développeur bien connu a été compromis. Les paquets affectés ont été téléchargés plus de 1 milliard de fois, ce qui signifie que tout l'écosystème JavaScript pourrait être en danger. »
Guillemet a ajouté : « Le code malveillant fonctionne en manipulant silencieusement les adresses de cryptomonnaie en arrière-plan pour voler des fonds. Si vous utilisez un portefeuille matériel, veuillez vérifier attentivement chaque transaction signée et vous serez en sécurité. Si vous n'utilisez pas de portefeuille matériel, veuillez éviter de faire des transactions on-chain pour le moment. Il n'est pas clair si les attaquants volent directement les phrases mnémotechniques des portefeuilles logiciels. »
QUE S'EST-IL PASSÉ ?
Selon le rapport de sécurité cité par Guillemet, la cause directe de cet incident était que le compte NPM du développeur bien connu @qix a été piraté, entraînant la publication de versions malveillantes de dizaines de paquets logiciels, y compris chalk, strip-ansi et color-convert. Le code malveillant a pu se propager au terminal lorsque des développeurs ou des utilisateurs ont installé automatiquement des dépendances.
Odaily Note : Données hebdomadaires de téléchargement des packages logiciels compromis.
En résumé, il s'agit d'un cas classique d'attaque de la chaîne d'approvisionnement—une attaque dans laquelle un attaquant insère du code malveillant ( tel que des packages NPM ) dans des outils de développement ou des systèmes de dépendances. NPM, abréviation de Node Package Manager, est l'outil de gestion de packages le plus couramment utilisé dans l'écosystème JavaScript/Node.js. Ses principales fonctions incluent la gestion des dépendances, l'installation et la mise à jour des packages, ainsi que le partage de code.
L'écosystème de NPM est extrêmement vaste, avec des millions de paquets logiciels actuellement disponibles. Presque tous les projets Web3, portefeuilles crypto et outils front-end dépendent de NPM. Précisément parce que NPM repose sur un grand nombre de dépendances et de liens complexes, c'est un point d'entrée à haut risque pour les attaques de la chaîne d'approvisionnement. Tant qu'un attaquant implante du code malveillant dans un paquet logiciel couramment utilisé, cela peut affecter des milliers d'applications et d'utilisateurs.
Comme indiqué dans le diagramme de flux de diffusion de code malveillant ci-dessus :
Un certain projet (boîte bleue) dépendra directement de certaines bibliothèques open source communes, telles qu'express.
Ces dépendances directes (boîtes vertes) dépendent à leur tour d'autres dépendances indirectes (boîtes jaunes, telles que lodash).
Si une dépendance indirecte est secrètement implantée avec du code malveillant (boîte rouge) par un attaquant, elle entrera dans le projet le long de la chaîne de dépendance.
QUE SIGNIFIE CELA POUR LES CRYPTO-MONNAIES ?
La pertinence directe de cet incident de sécurité pour l'industrie des cryptomonnaies réside dans le fait que le code malveillant implanté par les pirates dans le logiciel contaminé mentionné ci-dessus est un sophistiqué "hijacker de presse-papiers de cryptomonnaie" qui vole des actifs cryptographiques en remplaçant les adresses de portefeuille et en détournant les transactions.
Le fondateur de Stress Capital, GE (@GuarEmperor), a expliqué cela plus en détail sur X. Le "pirate de presse-papiers" injecté par le hacker utilise deux modes d'attaque : le mode passif utilise l'"algorithme de distance de Levenshtein" pour remplacer l'adresse du portefeuille, ce qui est extrêmement difficile à détecter en raison de sa similarité visuelle ; le mode actif détecte le portefeuille crypté dans le navigateur et a modifié l'adresse cible avant que l'utilisateur ne signe la transaction.
Puisque cette attaque cible les bibliothèques de base des projets JavaScript, même les projets qui s'appuient indirectement sur ces bibliothèques peuvent être affectés.
COMBIEN DE PROFIT LES HACKERS FONT-ILS ?
Le code malveillant implanté par le hacker a également révélé son adresse d'attaque. L'adresse principale d'attaque du hacker sur Ethereum est 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, et les fonds proviennent principalement des trois adresses suivantes :
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham a créé une page de suivi pour cette attaque, où les utilisateurs peuvent vérifier le bénéfice du hacker et le statut de transfert en temps réel.
Au moment de cette publication, les hackers n'ont profité que de 496 $ de l'attaque, mais étant donné que l'étendue de la propagation du code malveillant n'a pas encore été déterminée, il est prévu que ce chiffre puisse continuer à augmenter. Le développeur a maintenant été informé et travaille activement avec l'équipe de sécurité NPM pour résoudre le problème. Le code malveillant a maintenant été supprimé de la plupart des paquets affectés, donc la situation est sous contrôle.
COMMENT ÉVITER LES RISQUES ?
Le fondateur de Defillama, @0xngmi Yu X, a déclaré que bien que cet incident semble dangereux, l'impact réel n'est pas aussi exagéré – car cet incident n'affectera que les sites web qui ont publié des mises à jour depuis la sortie du package NPM piraté, et d'autres projets continueront à utiliser l'ancienne version ; et la plupart des projets corrigeront leurs dépendances, donc même s'ils publient des mises à jour, ils continueront à utiliser l'ancien code de sécurité.
Cependant, comme les utilisateurs ne peuvent pas vraiment savoir si un projet a des dépendances fixes ou s'il a des dépendances téléchargées dynamiquement, la partie du projet est actuellement tenue de procéder à une auto-inspection et de le divulguer en premier.
Au moment de cette publication, plusieurs projets de portefeuilles ou d'applications, y compris MetaMask, Phantom, Aave, Fluid et Jupiter, ont déclaré qu'ils n'étaient pas affectés par cet incident. Par conséquent, en théorie, les utilisateurs peuvent utiliser en toute sécurité des portefeuilles confirmés sécurisés pour accéder à des protocoles confirmés sécurisés. Cependant, pour d'autres portefeuilles ou projets qui n'ont pas encore effectué de divulgations de sécurité, il peut être plus sûr d'éviter temporairement de les utiliser.
〈Au cours de la nuit, les "attaques de la chaîne d'approvisionnement" ont dominé les gros titres : Que s'est-il passé ? Comment pouvons-nous atténuer les risques ?〉Cet article a été publié pour la première fois dans 《CoinRank》.