Logiciels malveillants ciblent une plateforme d'échange de cryptomonnaies, compromettant les portefeuilles des utilisateurs
Des chercheurs ont découvert des paquets malveillants sur les référentiels npm et PyPI qui ont volé les identifiants de portefeuilles d'utilisateurs et de développeurs de la plateforme d'échange de cryptomonnaies dYdX, entraînant le vol irréversible de cryptomonnaies, selon un rapport de la société de sécurité Socket. Les paquets compromis, y compris des versions de "dydxprotocolv4-client-js", ont mis en péril toutes les applications qui les utilisaient. Cette attaque met en évidence une menace croissante pour les actifs numériques et l'importance de mesures de sécurité robustes.
L'attaque, telle que détaillée par Socket, a impliqué l'injection de code malveillant dans des paquets open-source. Ce code a permis aux attaquants de voler les identifiants de portefeuilles, leur donnant potentiellement un contrôle total sur les avoirs en cryptomonnaies des utilisateurs. La portée de l'attaque comprenait à la fois les développeurs testant avec de vrais identifiants et les utilisateurs finaux de la plateforme dYdX. La société n'a pas précisé le nombre exact d'utilisateurs affectés.
Cet incident souligne la vulnérabilité de l'écosystème des cryptomonnaies aux attaques de la chaîne d'approvisionnement. Comme l'a rapporté VentureBeat, une chaîne d'attaque similaire peut commencer par un message apparemment légitime sur LinkedIn, menant à l'installation d'un paquet malveillant qui exfiltre des identifiants cloud sensibles, notamment des jetons d'accès personnels GitHub et des clés API AWS. Ce "pivot d'identité et de gestion des accès (IAM)" peut accorder aux adversaires l'accès à un environnement cloud en quelques minutes.
La nouvelle de l'attaque survient dans une période volatile pour le marché des cryptomonnaies. Bien que le Bitcoin ait connu une légère augmentation à 65 900 $ par pièce, selon Fortune, la tendance générale a été négative. Le Bitcoin a perdu 50 % de sa valeur par rapport à son pic d'octobre 2025. Les actions de Strategy, la société de trésorerie Bitcoin de Michael Saylor, ont chuté de 17 % hier et sont en baisse de 75 % par rapport à leur pic de l'année dernière.
Dans d'autres actualités, le Département d'État a annoncé qu'il supprimerait tous les messages sur ses comptes publics sur la plateforme de médias sociaux X publiés avant le retour du président Trump au bureau le 20 janvier 2025, selon NPR. Les messages seront archivés en interne, et ceux qui souhaitent y accéder devront déposer une demande en vertu de la loi sur la liberté d'information.
Discussion
AI Experts & Community
Be the first to comment