+- TISI (https://www.tisi-fr.com/board)
+-- Forum : Gɛɛk Zønɛ (https://www.tisi-fr.com/board/forumdisplay.php?fid=3)
+--- Forum : Sécurité (https://www.tisi-fr.com/board/forumdisplay.php?fid=7)
+--- Sujet : Des packages npm malveillants ciblent les développeurs Ethereum (/showthread.php?tid=4808)
Des packages npm malveillants ciblent les développeurs Ethereum - Omnous_Luminae - 06-01-2025
Des packages npm malveillants ciblent les développeurs Ethereum en se faisant passer pour Hardhat
![[Image: 26944777.png]](https://img-0.journaldunet.com/Hz8ENkFlT-vCQmW-NBLNim0NtfU=/1500x/smart/2fd6cdb0106140c487e3b484e86a3e86/ccmcms-jdn/26944777.png)
Hardhat, développé par la Nomic Foundation, est un outil essentiel pour le développement simplifié de smart contracts et dApps, avec des plugins personnalisables.
![[Image: Hardhat.svg]](https://icon.icepanel.io/Technology/svg/Hardhat.svg){kind=icon}
Des chercheurs de Socket ont signalé une attaque sur la chaîne d’approvisionnement ciblant la Nomic Foundation et les plateformes Hardhat. Les attaquants utilisent des packages npm malveillants pour voler des données critiques telles que des clés privées et des détails de configuration.
Les experts ont déjà identifié vingt packages malveillants se faisant passer pour l'environnement de développement Hardhat. La campagne est toujours en cours, et ces packages ont été téléchargés plus de 1 000 fois au total.
« Cette attaque en cours cible la Nomic Foundation, Hardhat et les plugins associés via des packages npm malveillants qui imitent des plugins légitimes. L’attaque a permis d’identifier 20 packages malveillants publiés par trois auteurs principaux, le plus téléchargé étant @nomicsfoundation/sdk-test, avec 1 092 téléchargements », précise le rapport publié par Socket. « Les impacts incluent des environnements de développement compromis, des portes dérobées dans les systèmes de production et des pertes de fonds. »
Les cybercriminels derrière cette campagne imitent les noms de packages et d’organisations légitimes pour tromper les développeurs.
Les attaquants volent des données sensibles telles que des mnémoniques et des clés privées à partir de Hardhat, les cryptent avec AES et les exfiltrent vers des points de contrôle sous leur contrôle.
« L’attaque commence lorsque des packages compromis sont installés. Ces packages exploitent l’environnement d’exécution Hardhat à l’aide de fonctions comme hreInit() et hreConfig() pour collecter des détails sensibles tels que des clés privées, des mnémoniques et des fichiers de configuration », poursuit le rapport. « Les données collectées sont transmises à des points de contrôle contrôlés par les attaquants, en utilisant des clés codées en dur et des adresses Ethereum pour faciliter l’exfiltration. »
Cette campagne met en évidence la nécessité d’une vigilance accrue lors de l’utilisation de packages open source. Les développeurs devraient adopter des outils d’audit plus stricts pour détecter et prévenir ce type d’attaques.
Le rapport fournit une liste des packages malveillants découverts par Socket, ainsi que des indicateurs de compromission (IOCs).
Sources :
https://securityaffairs.com/172671/malware/malicious-npm-packages-target-ethereum-developers.html
https://thehackernews.com/2025/01/russian-speaking-attackers-target.html
https://www.bleepingcomputer.com/news/security/malicious-npm-packages-target-ethereum-developers-private-keys/
RE: Des packages npm malveillants ciblent les développeurs Ethereum - EnZ0 - 07-01-2025
La vache ! Toi, quand tu mets une image... Faut redimensionner les jeunes
Bon, cela dit, cette actualité est sympa, car elle touche directement aux compétences en développement et sécurité enseignées en BTS SIO. Elle illustre parfaitement les risques liés à l'utilisation de dépendances tierces (encore les tiers, me direz-vous) dans le développement moderne. Cette nouvelle attaque sur npm est préoccupante. Le ciblage spécifique de l'environnement Hardhat (un environnement de développement professionnel pour Ethereum pour info) montre une évolution inquiétante des techniques d'attaque sur la chaîne d'approvisionnement.
C'est d'autant plus sérieux que ces packages malveillants exploitent directement l'environnement d'exécution pour collecter des données sensibles. Les attaquants ont clairement une excellente compréhension de l'écosystème Ethereum et de ses outils de développement.
Cette situation rappelle étrangement l'incident récent avec xz Utils sur Linux, montrant que personne n'est vraiment à l'abri. D'ailleurs, on observe une recrudescence de ce type d'attaques ces derniers mois, avec notamment les bibliothèques ciblant les développeurs PayPal Zettle et Airbnb.
Pour les développeurs, c'est un rappel crucial de l'importance de vérifier méticuleusement nos dépendances et d'utiliser des outils d'analyse de sécurité appropriés. La sécurité de toute la chaîne de développement en dépend.