Des packages npm malveillants ciblent les développeurs Ethereum en se faisant passer pour Hardhat
![[Image: 26944777.png]](https://img-0.journaldunet.com/Hz8ENkFlT-vCQmW-NBLNim0NtfU=/1500x/smart/2fd6cdb0106140c487e3b484e86a3e86/ccmcms-jdn/26944777.png)
Hardhat, développé par la Nomic Foundation, est un outil essentiel pour le développement simplifié de smart contracts et dApps, avec des plugins personnalisables.
![[Image: Hardhat.svg]](https://icon.icepanel.io/Technology/svg/Hardhat.svg)
Des chercheurs de Socket ont signalé une attaque sur la chaîne d’approvisionnement ciblant la Nomic Foundation et les plateformes Hardhat. Les attaquants utilisent des packages npm malveillants pour voler des données critiques telles que des clés privées et des détails de configuration.
Les experts ont déjà identifié vingt packages malveillants se faisant passer pour l'environnement de développement Hardhat. La campagne est toujours en cours, et ces packages ont été téléchargés plus de 1 000 fois au total.
« Cette attaque en cours cible la Nomic Foundation, Hardhat et les plugins associés via des packages npm malveillants qui imitent des plugins légitimes. L’attaque a permis d’identifier 20 packages malveillants publiés par trois auteurs principaux, le plus téléchargé étant @nomicsfoundation/sdk-test, avec 1 092 téléchargements », précise le rapport publié par Socket. « Les impacts incluent des environnements de développement compromis, des portes dérobées dans les systèmes de production et des pertes de fonds. »
Les cybercriminels derrière cette campagne imitent les noms de packages et d’organisations légitimes pour tromper les développeurs.
Les attaquants volent des données sensibles telles que des mnémoniques et des clés privées à partir de Hardhat, les cryptent avec AES et les exfiltrent vers des points de contrôle sous leur contrôle.
« L’attaque commence lorsque des packages compromis sont installés. Ces packages exploitent l’environnement d’exécution Hardhat à l’aide de fonctions comme hreInit() et hreConfig() pour collecter des détails sensibles tels que des clés privées, des mnémoniques et des fichiers de configuration », poursuit le rapport. « Les données collectées sont transmises à des points de contrôle contrôlés par les attaquants, en utilisant des clés codées en dur et des adresses Ethereum pour faciliter l’exfiltration. »
Cette campagne met en évidence la nécessité d’une vigilance accrue lors de l’utilisation de packages open source. Les développeurs devraient adopter des outils d’audit plus stricts pour détecter et prévenir ce type d’attaques.
Le rapport fournit une liste des packages malveillants découverts par Socket, ainsi que des indicateurs de compromission (IOCs).
Sources :
https://securityaffairs.com/172671/malwa...opers.html
https://thehackernews.com/2025/01/russia...arget.html
https://www.bleepingcomputer.com/news/se...vate-keys/
Hardhat, développé par la Nomic Foundation, est un outil essentiel pour le développement simplifié de smart contracts et dApps, avec des plugins personnalisables.
Des chercheurs de Socket ont signalé une attaque sur la chaîne d’approvisionnement ciblant la Nomic Foundation et les plateformes Hardhat. Les attaquants utilisent des packages npm malveillants pour voler des données critiques telles que des clés privées et des détails de configuration.
Les experts ont déjà identifié vingt packages malveillants se faisant passer pour l'environnement de développement Hardhat. La campagne est toujours en cours, et ces packages ont été téléchargés plus de 1 000 fois au total.
« Cette attaque en cours cible la Nomic Foundation, Hardhat et les plugins associés via des packages npm malveillants qui imitent des plugins légitimes. L’attaque a permis d’identifier 20 packages malveillants publiés par trois auteurs principaux, le plus téléchargé étant @nomicsfoundation/sdk-test, avec 1 092 téléchargements », précise le rapport publié par Socket. « Les impacts incluent des environnements de développement compromis, des portes dérobées dans les systèmes de production et des pertes de fonds. »
Les cybercriminels derrière cette campagne imitent les noms de packages et d’organisations légitimes pour tromper les développeurs.
Les attaquants volent des données sensibles telles que des mnémoniques et des clés privées à partir de Hardhat, les cryptent avec AES et les exfiltrent vers des points de contrôle sous leur contrôle.
« L’attaque commence lorsque des packages compromis sont installés. Ces packages exploitent l’environnement d’exécution Hardhat à l’aide de fonctions comme hreInit() et hreConfig() pour collecter des détails sensibles tels que des clés privées, des mnémoniques et des fichiers de configuration », poursuit le rapport. « Les données collectées sont transmises à des points de contrôle contrôlés par les attaquants, en utilisant des clés codées en dur et des adresses Ethereum pour faciliter l’exfiltration. »
Cette campagne met en évidence la nécessité d’une vigilance accrue lors de l’utilisation de packages open source. Les développeurs devraient adopter des outils d’audit plus stricts pour détecter et prévenir ce type d’attaques.
Le rapport fournit une liste des packages malveillants découverts par Socket, ainsi que des indicateurs de compromission (IOCs).
Sources :
https://securityaffairs.com/172671/malwa...opers.html
https://thehackernews.com/2025/01/russia...arget.html
https://www.bleepingcomputer.com/news/se...vate-keys/
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
