Les chercheurs tirent la sonnette d’alarme : le code Ethereum s’avère être un déguisement astucieux pour du malware

Un morceau de code discret dans la blockchain Ethereum (ETH) s’avère être la clé d’une nouvelle vague de cyberattaques. Les chercheurs tirent la sonnette d’alarme sur une méthode tellement avancée que même les développeurs expérimentés sont trompés.

Les smart contracts Ethereum sont exploités

Les chercheurs de ReversingLabs ont découvert deux paquets NPM malveillants qui, à première vue, semblaient être des outils innocents pour les développeurs. En réalité, ils utilisaient des smart contracts Ethereum pour récupérer des instructions cachées, incitant les systèmes infectés à télécharger des logiciels malveillants supplémentaires.

Il s’agit de paquets nommés ‘colortoolsv2’ et ‘mimelib2’, qui ont été téléchargés en juillet sur le populaire Node Package Manager (NPM), une bibliothèque en ligne où les programmeurs peuvent télécharger et utiliser des morceaux de code prêts à l’emploi dans leur logiciel. Les outils semblaient fiables car les attaquants avaient créé de faux utilisateurs, ajouté de fausses évaluations et prétendu que les paquets avaient été récemment mis à jour.

Les paquets contenaient des commandes codées qui récupéraient des URL cachées. Par ces liens, des logiciels malveillants étaient ensuite installés sur le système. Ce qui est préoccupant, c’est que la communication passait presque inaperçue, car les commandes étaient cachées dans des smart contracts Ethereum. Ainsi, le trafic réseau semblait être une activité blockchain normale et les systèmes de sécurité ne déclenchaient pas d’alarme.

C’est un jeu du chat et de la souris entre les hackers et les développeurs de logiciels. L’attaque montre comment les cybercriminels trouvent des moyens de plus en plus intelligents pour infiltrer les projets logiciels. Les chercheurs de ReversingLabs mettent en garde les développeurs pour qu’ils soient plus vigilants.

L’attaque montre que les acteurs malveillants peuvent se cacher sans effort. Même les paquets populaires ou les comptes de développeurs apparemment actifs ne sont donc pas dignes de confiance.

Les cryptohackers volent 142 millions de dollars en juillet

Si la décentralisation offre de nombreux avantages, il y a toutefois une importante réserve à faire : les transactions blockchain ne peuvent pas être annulées. Et bien que cela se passe généralement bien, nous voyons encore des millions de dollars en fonds cryptographiques être volés, souvent par diverses méthodes d’attaque.

Selon la société de sécurité PeckShield, les hackers ont volé au moins 142 millions de dollars en juillet lors de 17 attaques distinctes. La bourse de cryptomonnaies indienne CoindCX a été la plus touchée, avec une perte de 44 millions de dollars suite à une brèche ciblée sur leur serveur. L’attaque a même conduit à l’arrestation d’un employé potentiellement impliqué.

Un des plus grands risques dans le monde de la crypto, c’est souvent vous-même. Si vous gérez votre crypto en dehors d’une bourse, sur un cold wallet, c’est à bien des égards plus sûr. Mais il faut alors en prendre soin avec précaution. Après tout, il n’y a pas d’entité à qui s’adresser si vous perdez l’accès à vos clés privées.