- Un compte NPM mainteneur a été compromis via phishing, infectant des bibliothèques majeures comme chalk, strip-ansi et ansi-styles, utilisées plus de 2,6 milliards de fois par semaine.
- Le malware agit comme un crypto-clipper sophistiqué, interceptant et réécrivant les transactions on-chain pour détourner les fonds vers des adresses contrôlées par les attaquants.
- Les utilisateurs de wallets logiciels sont les plus exposés, tandis que les hardware wallets offrent une protection, mais la menace pèse sur l’ensemble de l’écosystème crypto et JavaScript.
CoinAcademy vous recommande de ne signer aucune transaction crypto pour le moment !
Une attaque d’ampleur historique
Un compte mainteneur NPM compromis, des dizaines de bibliothèques infectées, et plus de 2,6 milliards de téléchargements hebdomadaires concernés : l’attaque révélée ce 8 septembre 2025 (heure française) est déjà qualifiée de plus grave supply chain hack de l’histoire du développement logiciel.
Le développeur visé, connu sous le pseudonyme qix, a vu son compte NPM détourné après une campagne de phishing sophistiquée. Les attaquants ont publié des versions piégées de packages ultra-populaires comme chalk, strip-ansi, color-convert ou encore ansi-styles, tous massivement utilisés par l’écosystème JavaScript.
Comment le malware agit
Le code malveillant injecté dans les fichiers index.js agit comme un crypto-clipper évolué. Une fois installé via une dépendance compromise, il intercepte en silence les interactions Web3 :
- Surveillance des adresses Bitcoin, Ethereum, Solana, Tron, Litecoin ou Bitcoin Cash.
- Substitution en temps réel des adresses de destination.
- Redirection des fonds vers des portefeuilles contrôlés par les attaquants.
La gravité vient du fait que le malware agit à plusieurs niveaux : modification du contenu affiché aux utilisateurs, manipulation des API, et même réécriture des transactions au moment de la signature. En clair, un développeur ou un internaute peut croire interagir normalement avec son wallet, alors que les fonds partent ailleurs.
Une menace directe pour les cryptos
L’impact dépasse largement le monde du développement logiciel. La compromission touche directement l’univers crypto : chaque transaction on-chain signée depuis un environnement infecté peut être détournée.
Le CTO de Ledger a réagi rapidement sur X (ex-Twitter) :
Si vous utilisez un hardware wallet, vérifiez chaque transaction avant de signer et vous êtes protégés. Mais si vous utilisez un portefeuille logiciel, évitez toute transaction on-chain pour le moment.
Autrement dit : sans wallet physique, le risque est immédiat. Certains chercheurs craignent même que le malware puisse aller plus loin et tenter d’exfiltrer des seeds stockées dans des wallets logiciels.
Que faire pour se protéger ?
Les équipes NPM et le développeur compromis travaillent à nettoyer les versions infectées. Mais le danger reste réel :
- Les projets qui dépendent déjà d’une version compromise doivent être audités immédiatement.
- Les développeurs doivent pinner leurs dépendances à une version connue comme sûre (
overridesdanspackage.json). - Les utilisateurs crypto doivent redoubler de vigilance et utiliser un hardware wallet pour signer toute transaction ou mieux : ne signer aucune transaction pour le moment.
Une attaque qui laisse des traces
Cette opération intervient après une série de compromissions déjà inquiétantes en 2025 : en mars, dix bibliothèques NPM avaient été transformées en voleurs de données ; en juillet, eslint-config-prettier avait subi le même sort. Mais cette fois, l’ampleur est sans précédent : plus d’un milliard de téléchargements cumulés chaque semaine pour les seules bibliothèques compromises.
La conclusion est claire : la sécurité des supply chains logicielles devient l’un des points les plus critiques de tout l’écosystème numérique. Et dans ce cas précis, c’est aussi la sécurité de milliards en cryptomonnaies qui a été mise en jeu.
