{"id":3124,"date":"2025-04-13T16:07:26","date_gmt":"2025-04-13T16:07:26","guid":{"rendered":"https:\/\/satoshibrother.com\/fr\/des-malwares-cryptographiques-volent-silencieusement-des-eth-xrp-et-sol-depuis-des-portefeuilles\/"},"modified":"2025-04-13T16:07:26","modified_gmt":"2025-04-13T16:07:26","slug":"des-malwares-cryptographiques-volent-silencieusement-des-eth-xrp-et-sol-depuis-des-portefeuilles","status":"publish","type":"post","link":"https:\/\/satoshibrother.com\/fr\/des-malwares-cryptographiques-volent-silencieusement-des-eth-xrp-et-sol-depuis-des-portefeuilles\/","title":{"rendered":"Des malwares cryptographiques volent silencieusement des ETH, XRP et SOL depuis des portefeuilles"},"content":{"rendered":"

Une Campagne de Malwares Ciblant les Cryptomonnaies<\/h2>\n

Des chercheurs en cybers\u00e9curit\u00e9<\/strong> ont d\u00e9voil\u00e9 les d\u00e9tails d’une campagne de malwares visant les cryptomonnaies Ethereum<\/strong>, XRP<\/strong> et Solana<\/strong>. Cette attaque cible principalement les utilisateurs des portefeuilles Atomic<\/em> et Exodus<\/em> au moyen de packages compromis dans le gestionnaire de paquets Node (NPM)<\/strong>. Lors de ce processus, les transactions sont redirig\u00e9es vers des adresses contr\u00f4l\u00e9es par les attaquants<\/strong>, le tout sans que le propri\u00e9taire du portefeuille ne s’en aper\u00e7oive.<\/p>\n

Le Processus d’Infection<\/h2>\n

L’attaque d\u00e9bute lorsque des d\u00e9veloppeurs installent, \u00e0 leur insu, des packages NPM contenant des malwares dans leurs projets. Les chercheurs ont notamment identifi\u00e9 \u00ab\u00a0pdf-to-office\u00a0\u00bb<\/strong> comme un package compromis, qui para\u00eet l\u00e9gitime mais renferme du code malveillant<\/strong> dissimul\u00e9. Une fois install\u00e9, le package scanne le syst\u00e8me \u00e0 la recherche de portefeuilles de cryptomonnaie actifs et injecte un code malveillant con\u00e7u pour intercepter les transactions.<\/p>\n

\n

\u00ab\u00a0Cette campagne marque une escalade dans le ciblage continu des utilisateurs de cryptomonnaies \u00e0 travers des attaques de la cha\u00eene d’approvisionnement logicielle\u00a0\u00bb<\/p>\n<\/blockquote>\n

Le malware peut rediriger les transactions de plusieurs cryptomonnaies, y compris Ethereum (ETH)<\/strong>, USDT bas\u00e9 sur Tron<\/strong>, XRP (XRP)<\/strong> et Solana (SOL)<\/strong>.<\/p>\n

Analyse de la Campagne par ReversingLabs<\/h2>\n

ReversingLabs a identifi\u00e9 cette campagne gr\u00e2ce \u00e0 son analyse de packages NPM suspects et a relev\u00e9 plusieurs signaux de comportements malveillants<\/strong>, comme des connexions vers des URL suspectes<\/strong> et des motifs de code associ\u00e9s \u00e0 des menaces ant\u00e9rieures. Leur \u00e9tude technique r\u00e9v\u00e8le qu’il s’agit d’une attaque en plusieurs \u00e9tapes utilisant des techniques d’obfuscation avanc\u00e9es<\/strong> pour \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n

Les D\u00e9tails Techniques du Malware<\/h2>\n

Le processus d’infection d\u00e9bute lorsque le package malveillant ex\u00e9cute son code \u00e0 l’int\u00e9rieur des logiciels de portefeuille install\u00e9s sur le syst\u00e8me. Ce code recherche sp\u00e9cifiquement des fichiers d’application dans des emplacements pr\u00e9cis. Une fois ces fichiers localis\u00e9s, le malware extrait l’archive de l’application, tout cela se faisant par un code qui cr\u00e9e des r\u00e9pertoires temporaires, extrait les fichiers de l’application, y injecte du code malveillant, puis recompresse le tout pour donner une apparence normale.<\/p>\n

Le malware modifie le code de traitement des transactions pour substituer les adresses de portefeuilles l\u00e9gitimes par celles contr\u00f4l\u00e9es par les attaquants en utilisant l’encodage base64<\/strong>. Par exemple, quand l’utilisateur essaie d’envoyer des ETH, le code remplace l’adresse du destinataire par une adresse d’attaquant extraite d’une cha\u00eene encod\u00e9e en base64.<\/p>\n

Cons\u00e9quences de l’Attaque<\/h2>\n

L’impact de ce malware peut \u00eatre catastrophique<\/strong>, car les transactions apparaissent normales dans l’interface du portefeuille, malgr\u00e9 le fait que les fonds sont envoy\u00e9s aux attaquants. Les utilisateurs ne re\u00e7oivent aucune indication visuelle que leurs transactions ont \u00e9t\u00e9 alt\u00e9r\u00e9es, jusqu’\u00e0 ce qu’ils v\u00e9rifient sur la blockchain et d\u00e9couvrent que des fonds ont \u00e9t\u00e9 transf\u00e9r\u00e9s vers une adresse inattendue.<\/p>\n","protected":false},"excerpt":{"rendered":"

Une Campagne de Malwares Ciblant les Cryptomonnaies Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9voil\u00e9 les d\u00e9tails d’une campagne de malwares visant les cryptomonnaies Ethereum, XRP et Solana. Cette attaque cible principalement les utilisateurs des portefeuilles Atomic et Exodus au moyen de packages compromis dans le gestionnaire de paquets Node (NPM). Lors de ce processus, les transactions sont redirig\u00e9es vers des adresses contr\u00f4l\u00e9es par les attaquants, le tout sans que le propri\u00e9taire du portefeuille ne s’en aper\u00e7oive. Le Processus d’Infection L’attaque d\u00e9bute lorsque des d\u00e9veloppeurs installent, \u00e0 leur insu, des packages NPM contenant des malwares dans leurs projets. Les chercheurs ont notamment<\/p>\n","protected":false},"author":3,"featured_media":3123,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,64],"tags":[13,200,65,1340,8,115],"class_list":["post-3124","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ethereum","category-hack","tag-ethereum","tag-exodus","tag-hack","tag-reversinglabs","tag-ripple","tag-solana"],"yoast_description":"Des chercheurs en cybers\u00e9curit\u00e9 r\u00e9v\u00e8lent l'existence d'un malware ciblant Ethereum, XRP et Solana, subtilisant des fonds via des packages NPM compromis install\u00e9s dans des portefeuilles.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/3124","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=3124"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/3124\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/3123"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=3124"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=3124"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=3124"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}