Un hack logiciel critique peut mettre des fonds de crypto en danger, a averti lundi le directeur de la technologie de Ledger.
Les pirates semblent avoir compromis Le récit du NPM d’un développeur anonyme qui est «bien connu», a déclaré Guillemet.
Les pirates ont glissé du code malveillant dans un package JavaScript minuscule mais largement utilisé appelé Error-Ex. Ce package a été téléchargé plus d’un milliard de fois et est intégré dans d’innombrables applications et services.
Le malware fonctionne en surveillant silencieusement l’activité de la crypto-monnaie. Lorsqu’un utilisateur essaie d’envoyer Bitcoin, Ethereum, Solana ou d’autres jetons, il échange le portefeuille de destination avec celui contrôlé par les attaquants. Les victimes peuvent croire qu’elles envoient des fonds à une adresse de confiance, mais l’argent s’écoule plutôt vers des acteurs malveillants.
Analystes de sécurité averti que le code peut détourner les transactions à plusieurs couches – modifiant ce que les sites Web affichent, modifiant les processus d’arrière-plan et même tromper les applications pour déformer ce que les utilisateurs signalent.
Guillemet a conseillé aux propriétaires de portefeuilles matériels de confirmer soigneusement chaque transaction sur l’écran de l’appareil avant de l’approuver. Étant donné que le matériel affiche la véritable adresse du destinataire, les utilisateurs diligents peuvent toujours repérer la falsification. Pour ceux qui utilisent seuls les portefeuilles logiciels, il a exhorté à éviter toutes les transactions sur la chaîne jusqu’à ce que l’attaque soit mieux comprise.
Les chercheurs sont décrivant La violation comme peut-être la plus grande attaque de chaîne d’approvisionnement en open source dans l’histoire. Il met en évidence la fragilité des bibliothèques de logiciels partagées et le risque financier direct qu’ils peuvent créer en crypto.
