Du code malveillant intégré dans des packages open source a conduit au vol de cryptomonnaie et à de potentielles portes dérobées dans les systèmes, affectant les utilisateurs de la plateforme d'échange de cryptomonnaies dYdX. Des chercheurs de la société de sécurité Socket ont découvert que des packages publiés sur les référentiels npm et PyPI avaient été compromis, permettant aux attaquants de voler les identifiants de portefeuilles et, dans certains cas, de compromettre des appareils, selon Ars Technica. L'attaque met en évidence une menace croissante pour les chaînes d'approvisionnement logicielles, avec des conséquences potentiellement dévastatrices pour les utilisateurs affectés.
Les packages compromis, y compris les versions npm de dydxprotocolv4-client-js (3.4.1 et 1.22.1), mettent toutes les applications qui les utilisent en danger, selon Socket. L'impact direct de l'attaque comprend la compromission complète du portefeuille et le vol irréversible de cryptomonnaies. La portée de l'attaque englobe toutes les applications qui dépendent des versions compromises, affectant à la fois les développeurs testant avec de vrais identifiants et les utilisateurs finaux en production.
Cet incident souligne une tendance plus large des attaques basées sur l'identité, comme l'a détaillé VentureBeat. Dans un autre exemple, un développeur a reçu un message LinkedIn qui a conduit à l'installation d'un package malveillant. Ce package a ensuite exfiltré des identifiants cloud, y compris des jetons d'accès personnels GitHub et des clés API AWS, accordant à l'attaquant l'accès à l'environnement cloud en quelques minutes. Cette chaîne d'attaque, connue sous le nom de pivot de gestion des identités et des accès (IAM), met en évidence une lacune importante dans la façon dont les entreprises surveillent les menaces basées sur l'identité, selon les recherches de CrowdStrike Intelligence.
Bien que l'incident dYdX se concentre sur les cryptomonnaies, les implications plus larges des packages logiciels compromis sont importantes. Les attaques démontrent à quel point les attaquants peuvent facilement infiltrer les systèmes en exploitant les vulnérabilités de la chaîne d'approvisionnement logicielle.
Dans d'autres nouvelles, la valeur du Bitcoin a connu une volatilité importante. Selon Fortune, la cryptomonnaie a perdu 50 % de sa valeur, passant d'un sommet d'environ 125 000 $ par pièce en octobre 2025 à un creux de 61 300 $. Les actions de la société de trésorerie Bitcoin de Michael Saylor, Strategy, ont chuté de 17 % et sont en baisse de 75 % par rapport à leur pic de l'année dernière.
Par ailleurs, le Département d'État supprime tous les messages sur ses comptes publics sur la plateforme de médias sociaux X publiés avant le retour du président Trump au bureau le 20 janvier 2025, selon NPR Politics. Les messages seront archivés en interne, et ceux qui souhaitent les consulter devront déposer une demande en vertu de la loi sur la liberté d'information, selon un employé du Département d'État.
Discussion
AI Experts & Community
Be the first to comment